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每 章 内 容 针 对 初学 者 精心 设计 ， 骨 小 时 轻松 阅读 学 习 ， 


小 时 彻底 擎 担 关 键 知 识 
每 章 助 你 轻松 完成 常见 任务 ， 
通过 提高 应 用 技能 ,巩固 所 学 知识 
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本 以 示例 引导 读者 完成 最 常见 的 任务 
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QL 小 时 彻底 掌握 关键 知识 


每 章 和 案例 与 练习 颌 助 你 轻松 完成 常见 任务 ， 


通过 实践 提高 应 用 技能 ， 巩 固 所 学 知识 
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本 书 深 入 浅 出 地 介绍 了 TCP/P 协 议 的 入 门 知识 。 全 书 分 为 6 个 部 
分 ， 共 24 章 : 首先 从 TCP/IP 基 础 知识 开始 ;接着 着 重 介绍 了 TCP/IP 协 议 
系统 ; 然后 介绍 了 TCP/IP 连 网 的 相关 知识 ; 第 4 部 分 对 TCP/IP 中 使 用 的 
工具 进行 了 讲解 ， 第 5 部 分 是 与 Internet 相 关 的 内 容 ; 第 6 部 分 则 介绍 了 与 
运行 中 的 TCP/IP 相 关 的 内 容 ， 比 如 Web 服 务 、 电 子 邮 件 、 云 计算 等 。 

本 书 叙 述 简明 扼要 ， 通 俗 易 懂 ， 不 但 适合 于 计算 机 网 络 和 Internet 
oo 
班 教材 。 
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欢迎 阅读 本 书 ! 本 书 为 新 手提 供 了 针对 TCP/P 的 清晰 、 简 明 的 介 
绍 ， 想 要 深入 了 解 TCP/ 耻 的 用 户 也 是 本 书 的 读者 对 象 。 本 书 与 那些 围绕 
着 困难 主题 进行 讲解 的 网 络 入 门 图 书 不 同 ， 它 会 为 读者 深入 讲解 TCP/IP 
技术 。 读 者 将 会 学 到 TCP/IP 协 议 簇 中 的 所 有 重要 协议 ， 并 会 得 知 TCP/IP 
协议 簇 是 如 何 成 为 包含 丰富 工具 和 服务 的 生态 系统 (也 就 是 我 们 所 称 的 
Internet) 的 构成 基石 的 。 本 书 第 5 版 包含 了 TCP/PP 近 期 发 展 的 一 些 新 内 
容 ， 并 对 DNS 安全 、IPv6 和 云 计算 等 主题 进行 了 详细 讲解 。 读 者 会 在 本 
书 中 发 现 有 关 配 置 、REST Web 服 务 、HTML5， 以 及 TCP/IP 近 期 发 展 的 
一 些 新 信息 。 

每 一 章 都 需要 一 小 时 吗 

每 章 的 内 容 都 可 以 让 读者 在 一 小 时 之 内 完成 ， 其 内 容 短 得 都 可 以 一 
下 子 读 完 。 事 实 上 ， 读 者 在 一 小 时 之 内 不 仅 可 以 阅读 完 一 章 的 内 容 ， 还 
有 足够 的 时 间 来 做 笔记 和 重读 比较 复杂 的 小 节 。 

如 何 使 用 本 书 

本 书 致力 于 通过 一 些 简 单 、 易 理解 的 会 话 来 帮助 读者 学 习 某 个 主 
。 本 书 分 为 6 个 部 分 ， 每 一 部 分 都 会 使 读者 进一步 熟练 掌握 TCP/IP。 

> 第 1 部 分 ，“TCP/IP 綦 础 知识 ”， 介 绍 TCP/IP 和 TCP/IP 协 议 栈 。 

> 第 2 部 分 ，“TCP/IP 协 议 系 统 ”， 详 细 介 绍 TCP/IP 的 每 一 个 协议 
录 : 网 络 访问 层 、 网 际 层 、 传 输 层 和 应 用 层 。 内 容 包 括 IP 寻 址 和 子 网 划 
、 物 理 网 络 和 应 用 服务 、TCP/IP 每 一 层 上 运行 的 协议 。 

> 第 3 部 分 ， “TCP/IP 连 网 *"， 介 绍 支持 TCP/IP 网 络 的 设备 、 服 务 和 
工具 ， 内 容 包 括 路 由 选择 、 网 络 硬 件 、DHCP、DNS 和 IPv6。 

> 第 4 部 分 , “工具 ”， 介 绍 用 于 配置 、 管 理 和 诊断 TCP/P 网 络 的 一 
些 常 用 工具 ， 内 容 包 括 ping、Netstat、FTP、Telnet 和 其 他 网 络 工 具 。 你 
可 以 大 致 了 解 TCP/IP 是 如 何 适 用 于 某 些 重要 服务 的 (比如 Web 服 务 器 、 
LDAP 身 份 验证 服务 器 和 数据 库 服务 器 ) 。 

> 第 5 部 分 , “Internet”， 介 绍 世界 上 最 大 的 TCP/AP 网 络 : Internet。 
内 容 包 括 Intemet 的 结构 、HTTP、HTMIL、XML、 电 子 邮 件 和 Internet 
流传 输 ， 此 外 还 包括 Web 技术 如 何 通 过 演化 发 展 来 提供 新 一 代 的 服 
让 。 

第 6 部 分 , “运行 中 的 TCP”， 通 过 提供 一 个 难忘 的 案例 研究 来 向 
读者 展示 ，TCP/IP 的 组 件 是 如 何在 真实 中 的 环境 中 交互 的 。 

本 书 中 介绍 的 概念 ， 就 像 TCP/IP 本 身 一 样 ， 独 立 于 任何 操作 系统 ， 








可 





沪 沿 


源 自 于 “Internet 请 求 注解 (RFC) ”中 定义 的 标准 。 

本 书 是 如 何 组 织 的 

本 书 的 每 一 半 由 一 段 简要 介绍 开始 ， 并 列 出 本 章 的 主要 目标 。 男 外 
还 有 下 面 这 些 组 成 元 素 。 

主要 内 容 

每 章 的 主要 内 容 都 对 相应 主题 进行 清晰 、 易 懂 的 介绍 ， 利 用 图 形 和 
表格 来 帮助 解释 文字 所 描述 的 概念 ， 还 有 散布 于 文字 之 间 的 “注意 ”来 提 
供 补 充 资料 ， 这 些 资料 包括 定义 、 描 述 或 警告 ， 可 以 帮助 读者 更 好 理解 
学 习 材 料 。 

注意 : 

这 些 补充 材料 进一步 说 明正 文中 讨论 的 概念 ， 它 可 能 是 额外 的 信 
妃 ， 或 是 提供 了 一 个 例子 ， 但 一 般 都 不 是 理解 主题 所 必需 的 。 如 果 读 者 
ES 可 以 跳 过 这 些 内 容 。 

问 与 答 

每 章 的 最 后 部 分 都 有 一 些 问答 题 ， 其 目的 是 测试 读者 对 本 章 内 容 的 
理解 。 el 问题 的 答案 。 

测验 

此 外 ， 每 章 后 面 都 包含 一 个 由 问题 和 练习 组 成 的 测验 ， 旨 在 测试 读 
者 对 本 章 知识 的 理解 程度 ， 或 者 是 为 读者 提供 完成 一 个 特定 任务 的 练 
习 。 在 完成 测验 中 的 某 些 练习 时 ， 即 使 你 没有 必要 的 软件 和 硬件， 通过 
阅读 这 些 练习 ， 也 会 有 助 于 理解 工具 如 何 应 用 于 真实 的 网 络 实现 。 

关键 术语 

每 章 都 会 包含 本 章 介 绍 的 一 些 重 要 术语 。 这 些 关 键 术 语 按 照 字 母 排 
序 ， 依 次 出 现在 每 章 末尾 。 
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第 1 章 什么 是 TCP/IP 
本 章 介 绍 如 下 内 容 : 


> 网 络 和 网 络 协议 ; 

> TCP/IP 的 历史 ; 

> TCP/IP 的 重要 特性 。 

TCP/IP 是 一 类 协议 系统 ， 它 是 一 套 支 持 网 络 通信 的 协议 集合 。 要 回 
答 什 么 是 协议 ， 首 先 必须 回答 什么 是 网 络 。 

本 章 将 介绍 网 络 的 概念 ， 并 解释 网 络 为 什么 需要 协议 。 此 外 ， 还 将 
介绍 TCP/PP 的 概念 、 功 能 及 其 历史 。 

学 完 本 章 后 ， 你 可 以 : 

> 定义 术语 “网 络 ”; 

> 解释 什么 是 网 络 协 议 簇 ; 

> 解释 什么 是 TCP/IP; 

> 讨论 TCP/IP 的 历史 ; 

> 列 出 TCP/IP 的 一 些 重要 特性 ; 

> 了 解 监管 TCP/IP 和 Internet 的 组 织 ; 

> 解释 RFC 是 什么 以 及 从 哪里 可 以 找到 它们 。 





网 络 是 计算 机 或 类 似 计 算 机 的 设备 之 间 通 过 第 用 传输 介质 进行 通信 
的 集合 。 通 第 情况 下 ， 传 输 介质 是 绝缘 的 金属 导线 ， 它 用 来 在 计算 机 之 
间 携 带电 脉冲 ， 但 是 阐述 介质 也 可 以 是 电话 线 ， 甚 至 没有 线路 (比如 在 
无 线 网 络 中 ) 。 

无 论 计算 机 如 何 连接 ， 计 算 机 之 间 的 通信 过 程 都 需要 将 来 自 于 其 中 
一 台 计 算 机 的 数据 ，&nbsp; 通 过 传输 介质 传输 到 为 外 一 台 计 算 机 。 在 图 
1.1 中 ， 计 算 机 A 必 须 能 够 发 送 消 息 或 请 求 到 计算 机 B。 计 算 机 B 必 须 能 
够 理解 计算 机 A 的 消 轧 ， 并 通过 将 一 条 消 妃 发 回 计算 机 A 来 进行 啊 应 。 


计算 机 B 






传输 介质 





图 1.1 典型 的 局 域 网 


计算 机 可 以 通过 一 个 或 多 个 应 用 程序 与 世界 进行 交互 ， 这 些 应 用 程 
序 用 来 执行 特定 任务 和 管理 通信 过 程 。 在 现代 系统 中 ， 可 以 轻松 地 实现 
网 络 通信 ， 以 至 于 用 户 儿 乎 感觉 不 到 它 的 存在 。 例 如 ， 当 你 在 网 上 冲浪 
时 ， 你 的 Web 浏 览 需 正 在 与 URL 中 指定 的 Web 服 务 需 进行 通信 。 当 你 在 
Windows Explorer 或 Mac OS Finder 中 查看 邻居 计算 机 列表 时 ， 这 些 位 于 
局 域 网 中 的 计算 机 也 相互 通信 ， 以 表明 它们 的 存在 。 在 任何 情况 下 ， 只 
要 你 的 计算 机 隶属 于 一 个 网 络 ， 那 么 ， 该 计算 机 上 的 应 用 程序 必须 能 够 
与 该 网 络 中 其 他 计算 机 上 的 应 用 程序 相互 通信 。 

网 络 协 议 就 是 一 套 通 用 规则 ， 用 来 帮助 定义 复杂 数据 传输 的 过 程 。 
数据 传输 从 一 台 计 算 机 上 的 应 用 程序 开始 ， 通 过 计算 机 网 络 人 硬件 ， 经 过 
传输 介质 到 正确 目的 地 ， 然 后 上 传 到 目的 地 计算 机 网 络 硬 件 ， 最 后 到 达 
负责 接收 的 应 用 程序 ( 见 图 1.2)。 











应 用 程序 应 用 程序 





协议 千 
网 络 层 网 络 层 
网 络 接 入 层 网 络 接 入 层 


下 网 络 也 
站 硬件 门 


图 1.2 网 络 协议 复 的 规则 


TCP/IP 协 议定 义 了 网 络 通 信 过 程 ， 更 重要 的 是 ， 定 义 了 数据 单元 的 
格式 和 和 内容， 以便 接 收 计 算 机 能 够 正确 解释 接收 到 的 消息 。TCP/IP 及 其 
相关 的 协议 构成 了 一 套 在 TCP/IP 网 络 中 如 何 处 理 、 传 输 和 接收 数据 的 完 
整 系统 ， 相 关 协 议 的 系统 ， 例 如 TCP/IP 协 议 ， 被 称 为 协议 簇 (protocol 
Suite) 。 

确定 TCP/IP 传输 格式 和 过 程 的 实际 行为 是 由 厂商 的 TCP/IP 软件 来 
实现 的 。 例 如 ， Microsoft Windows 中 的 TCP/IP 软 件 使 得 安装 了 Windows 
的 计算 机 可 以 处 理 TCP/IP 格 式 的 数据 ， 并 参与 到 TCP/IP 网 络 中 。 在 阅读 
本 书 时 ， 应 该 了 解 下 列 区 别 。 

> TCP/IP 标 准 定 义 了 TCP/IP 网 络 的 通信 和 规则; 

> TCP/IP 实 现 是 一 个 软件 组 件 ， 计 算 机 通过 它 参 与 到 TCP/IP 网 络 


中 。 
y TCP/IP 标 准 的 目的 是 确保 所 有 厂商 提供 的 TCP/IP 实 现 都 能 够 很 好 地 
人 人 








注意 : 在 谈论 到 TCP/IP 时 ，TCP/IP 标 准 和 TCP/IP 实 现 之 间 的 区 别 往 
往 很 模糊 ， 有 时 会 误导 读者 。 例 如 ， 作 者 通常 会 讨论 到 为 其 他 层 提 供 服 
务 的 TCP/IP 模 型 的 分 层 ， 实 际 上 ， 不 是 TCP/IP 模 型 提供 服务 ， 它 只 是 定 
0 而 真正 提供 这 些 服务 的 则 是 实现 了 TCP/IP 的 厂 
人 台 ] 失 o 


1.2 TCP/IP 的 开发 


之 所 以 要 设计 TCP/IP， 这 是 由 它 作 为 Internet 协 议 系统 的 历史 角色 决 
定 的 。Internet 与 其 他 高 技术 的 发 展 一 样 ， 最 初 是 由 美国 国防 部 主持 研究 
的 。 在 20 志 纪 60 年 代 末 期 ， 美 国 国防 部 开始 注意 到 军队 购置 了 大 量 而 且 
型 号 不 同 的 计算 机 。 有 些 计算 机 不 能 够 联网 ， 而 有 些 计 算 机 利用 一 些 不 
兼容 的 专属 协议 就 可 以 编组 到 一 个 小 型 的 封闭 网 络 中 。 

这 里 的 “专属 (Proprietary) ”意味 着 该 技术 受到 私有 实体 (比如 一 
个 公司 ) 的 控制 。 该 实体 不 可 能 透露 该 协议 的 一 些 信息 ， 这 样 用 户 就 不 
能 使 用 协议 连接 到 其 他 《比如 竞争 对 手 ) 的 网 络 协议 中 。 

国防 部 的 官员 开始 考虑 是 个 可 以 利用 这 些 分 散 的 计算 机 来 共享 信 
上 县。 这 些 有 远见 的 官员 创建 了 一 个 网 络 ， 被 美国 国防 部 高 级 研究 计划 署 

(ARPA) 命名 为 ARPAnet。 

随 着 该 网 络 逐 渐 成 型 ， 由 Robert E.Kahn 和 Vinton Cerf 领 导 的 一 组 计 
算 机 科学 人 员 ， 开 始 研究 通用 的 协议 系统 ， 以 文 持 多 种 便 件 并 提供 弹性 
的 、 可 宛 余 的 和 分 散 的 系统 ， 该 系统 可 以 在 全 球 范围 内 传输 大 量 数 据 。 
这 个 研究 的 成 果 就 是 TCP/P 协 议 复 的 开端 。 当 美国 国家 科学 基金 会 想 建 
立 连 接 到 研究 机 构 的 网 络 时 ， 它 采纳 了 ARPAnet 的 协议 系统 ， 并 开始 构 
建 Internet。 伦 敦 大 学 学 院 和 其 他 欧洲 研究 结构 致力 于 TCP/IP 早 期 的 开 
发 ， 第 一 个 路 越 大 西洋 的 通信 测试 开始 于 1975 年 左右 。 随 痢 越 来 越 多 的 
大 学 和 研究 机 构 的 加 入 ，Internet 现 象 开 始 传播 到 世界 各 地 。 

在 随后 的 学 习 中 你 会 知道 ， 最 初 分 散 的 ARPAnet 已 经 演变 成 了 当前 
的 TCP/IP 协 议 系统 ， 并 成 为 Intermet 比 较 成 功 的 一 个 部 分 。TCP/IP 为 这 个 
分 散 的 《〈decentralized) 环境 提供 了 两 个 重要 的 特性 ， 如 下 所 示 。 

> 端点 验证 : 两 台 实 际 通信 的 计算 机 都 称 为 端点 ， 因 为 它们 位 于 
信息 链 的 末端 ， 负 责 确 认 和 验证 传输 。 所 有 的 计算 机 都 是 对 等 操作 ， 没 
有 监视 通信 的 中 心 模 式 。 

> 动态 路 由 选择 : 节点 通过 多 条 路 径 连 接 ， 路 由 器 基于 当前 的 条 
件 选 择 一 条 路 径 来 传输 数据 。 本 书后 面 会 详细 介绍 路 由 选择 及 其 路 由 路 
4 大 


位 。 
个 人 计算 机 的 革命 

















当 Internet 开始 流行 的 时 候 ， 大 多 数 计算 机 是 多 用 户 系统 。 位 于 一 
个 办 公 室 (或 园区 ) 的 多 个 用 户 通过 称 之 为 终端 的 文本 屏幕 界面 设备 连 
接 到 一 台 计 算 机 中 。 尽管 用 户 之 间 的 工作 相互 独立 ， 但 实际 上 他 们 访问 
的 是 同一 台 计 算 机 ， 而 且 这 一 台 计 算 机 只 需要 一 条 Internet 连接 来 癌 一 
人 个 人 计算 机 在 20 世 纪 80 年 代 和 90 年 代 的 兴起 改变 了 
= 而- 

在 个 人 计算 机 的 早期 ， 大 多 数 用 户 没有 必要 为 连 网 而 费心 。 但 是 随 
着 Internet 的 发 展 超出 了 其 最 初 的 学 术 目 的 进入 民间 之 后 ， 使 用 个 人 计 
算 机 的 用 户 开 始 寻找 接 入 Internet 的 方法 。 一 种 方法 是 使 用 modem 拨 号 连 
接 ， 它 是 通过 一 条 电话 线 来 提供 网 络 连接 的 。 

但 是 用 户 i 还 希望 够 与 办 公 室 中 的 其 他 计算 机 连接 起 来 ， 以 达到 共 
享 文件 和 访问 外 围 设备 的 目的 。 为 了 满足 这 一 需求 ， 局 域 网 (Local 
Area Network，LAN) 这 一 网 络 概 念 登 上 舞台 。 

早期 的 LAN 协 议 不 提供 Internet 连 接 ， 而 且 是 围绕 着 专 有 的 协议 系统 
来 设计 的 。 很 多 协议 不 支持 任何 类 型 的 路 由 选择 。 位 于 一 个 工作 组 的 计 
算 机 使 用 这 些 专 有 协议 中 的 其 中 一 种 相互 通信 ， 用 户 要 么 不 使 用 
Intemet， 要 么 束 是 通过 拨号 线路 和 单独 连接 Internet。 随 着 Internet 服 务 提 
供 商 数量 的 增加 ， 接 入 Internet 的 费用 也 逐渐 降低 ， 各 个 公司 开始 考虑 采 
用 一 种 永久 、 人 快速 的 Pnternet 连 接 ， 而 且 这 种 连接 可 以 永远 在 线 。 多 种 解 
决 方案 应 运 而 生 ， 它 们 可 以 让 LAN 用 户 接 入 到 基于 TCP/P 的 Internet。 为 
了 让 这 些 局 域 网 接 入 到 Internet， 可 以 使 用 专门 的 网 关 来 进行 必要 的 协议 
转换 。 然 而 ， 随 着 万 维 网 的 成 长 ， 众 生 了 终端 用 户 与 Internet 的 连接 需 
求 ， 这 使 得 TCP/IP 更 为 必要 ， 而 诸如 AppleTalk、NetBEUI 和 Novell 的 
IPX/SPX 这 样 的 LAN 协 议 则 丧失 了 用 武之 地 。 

包括 Apple 和 Microsoft 在 内 的 操作 系统 厂商 开始 将 TCP/IP 作 为 局 域 
网 、Internet 的 默认 协议 。TCP/IP 也 在 UNIX 系 统 中 成 长 起 来 ， 而 且 所 有 
的 UNIX/Linux 版 本 都 可 以 流畅 地 运行 TCP/IP。 最 终 ，TCP/IP 成 为 适用 于 
小 到 小 型 办 公 室 ， 大 到 大 型 数据 中 心 的 连 网 协议 。 

读者 在 第 3 章 将 知道 ， 为 了 与 LAN 相 适 应 ， 厂 商 在 实现 硬件 相关 
的 协议 《而 且 这 些 协议 是 TCP/ 了 PP 的 基础 ) 时 ， 已 经 进行 了 大 量 的 创新 。 


1.3 TCP/IP 的 特性 

TCP/IP 包 括 许多 重要 的 特性 ， 读 者 将 在 本 书 中 学 习 到 这 些 特性 。 请 
特别 注音 TCP/IP 协 议 秘 处 理 以 下 问题 的 方式 : 

> 逻辑 编 址 ; 

> 路 由 选择 ; 





























> 名 称 解析 ; 

错误 控制 和 流量 控制 ; 

> 应 用 文 持 。 

这 些 问题 是 TCP/P 的 核心 。 下 面 将 介绍 这 些 重要 的 特性 ， 其 细节 
将 在 本 书后 面 的 章节 中 讲解 。 

1.3.1 逻辑 编 址 

网 络 适 配器 有 一 个 唯一 的 物理 地 址 。 在 以 太 网 的 例子 中 ， 当 适配器 
在 出 厂 时 ， 通 常会 为 其 分 配 一 个 物理 地 址 ， 这 个 物理 地 址 有 时 候 称 为 
MAC 地 址 。 当 然 ， 当 前 有 些 设 备 提 供 了 修改 该 物理 地 址 的 方法 。 在 
LAN 中 ， 低 层 的 与 硬件 相关 的 协议 使 用 适配器 的 物理 地 址 在 物理 网 络 
中 传输 数据 。 现 在 有 多 种 类 型 的 网 络 ， 而 且 它 们 传输 数据 所 使 用 的 方法 
也 不 相同 。 例 如 ， 在 基本 的 以 太 网 中 ， 计 算 机 直接 在 传输 介质 至 上 发 送 
消息 。 每 台 计 算 机 的 网 络 适 配器 监听 局 域 网 络 中 的 每 一 个 传输 ， 以 确定 
消息 是 否 是 发 送 到 它 的 物理 地 址 。 

注意 : 并 没有 那么 简单 

当 你 在 学 习 第 9 章 时 将 会 知道 ， 今 天 的 以 太 网 比 计算 机 直接 在 传输 
线路 上 发 送信 息 的 理想 场景 要 复杂 一 些 。 以 太 网 有 时 包含 硬件 设备 ， 比 
如 用 来 管理 信号 的 交换 机 。 

当然 ， 在 大 型 网 络 中 ， 每 个 网 络 适 配器 不 能 监听 所 有 的 信息 〈 想 象 
一 下 你 的 计算 机 监听 在 mternet 中 传输 的 所 有 数据 ) 。 当 传输 介质 随 着 计 
算 机 越 来 越 普 及 时 ， 物 理 地 址 模式 不 能 有 效 地 发 挥 作用 。 网 络 管理 员 经 
常 使 用 设备 《例如 路 由 器 ) 将 网 络 分 段 ， 以 减少 网 络 的 拥堵 。 在 路 由 式 
网 络 中 ， 管 理 员 需 要 一 种 细 分 网 络 到 更 小 的 子 网 〈 称 为 subnets) 的 方 
法 ， 并 且 加 入 一 个 分 层 设计 以 便 让 信息 有 效 地 传输 到 它 的 目的 地 。 
TCP/IP 通 过 逻辑 编 址 提供 了 这 样 的 子 网 化 能 力 。 逻 辑 地 址 是 一 个 通过 网 
络 软件 来 配置 的 地 址 。 在 TCP/IP 中 ， 计 算 机 的 逻辑 地 址 称 为 IP 地 址 。 在 
第 4 章 和 第 5 章 将 学 到 ， 一 个 IP 地 址 包括 : 

> 一 个 识别 网 络 的 网 络 有 D 数 值 ; 

> 一 个 识别 网 络 中 子 网 的 子 网 ID 数值 ; 

> 一 个 识别 子 网 中 计算 机 的 主机 ID 数值 。 

IP 编 址 系统 也 能 让 网 络 管理 员 在 网 络 中 加 入 一 个 明智 的 编 址 方案 ， 
这 样 地 址 的 级 数 就 能 反映 网 络 的 内 部 结构 。 

注意 : Internet 就 绪 〈Internet-Ready)〉 地 址 

如 果 你 的 网 络 与 Internet 相 隔离 ， 则 可 以 随意 使 用 任何 IP 地 址 (只 要 
网 络 遵循 基本 的 卫 编 址 规则 ) 。 但 是 ， 如 果 你 的 网 络 与 Internet 相 连 ， 互 
联网 名 称 与 数字 地 址 分 配 机 构 (ICANN， 成 立 于 1998 年 ) 将 分 配 一 个 网 

















络 ID 给 你 的 网 络 ， 该 网 络 ID 成 为 了 地 址 的 第 一 部 分 〈 见 第 4 章 和 第 5 
章 ) 。 一 个 有 趣 的 新 技术 是 一 个 被 称 为 网 络 地 址 转换 (NAT) 的 系统 ， 
它 可 以 让 你 在 局 域 网 中 拥有 私有 的 、 不 可 路 由 的 卫 地 址 。 当 需要 与 
Interet 通 信 时 ，NAT 会 将 这 个 地 址 转换 为 正式 的 Internet 就 绪 地 址 。 有 
关 NAT 的 详情 将 在 第 12 章 介绍 。 

在 TCP/IP 中 ， 逻 辑 地 址 与 具体 硬件 的 物理 地 址 之 间 的 转换 是 使 用 地 
址 解析 协议 (Address Resolution Protocol，ARP) 和 逆向 地 址 解析 协议 
(Reverse ARP，RARP) 实现 的 。 这 两 个 协议 将 在 第 4 章 讲 解 。 

1.3.2 路 由 选择 

路 由 器 是 一 种 特殊 的 设备 ， 能 够 读 取 逻辑 地 址 信息 ， 并 将 数据 通过 
网 络 直接 传送 到 它 的 目的 地 。 最 简单 的 应 用 是 ， 路 由 器 将 一 个 局 域 子 网 
从 较 大 的 网 络 中 分 离 出 去 〈 见 图 1.3) 。 














图 1.3 路 由 器 将 一 个 局 域 网 连接 到 一 个 大 型 的 网 络 上 


在 局 域 网 中 ， 数 据 传输 到 另 一 人 台 计 算 机 或 设备 时 ， 不 用 经 过 路 由 
器 ， 因 此 不 会 给 大 型 网 络 的 传输 线路 带 来 负担 。 如 果 数 据 要 传送 到 子 网 
以 外 的 计算 机 上 ， 路 由 器 将 负责 转发 数据 。 本 章 前 面 提 到 ， 大 型 网 络 
(例如 Internet) 包括 了 许多 路 由 器 ， 并 且 提 供 从 源 到 目的 地 的 多 条 路 径 








( 见 图 1.4) 。 





网 络 
图 1.4 路 由 式 网 络 
TCP/IP 包 括 了 定义 路 由 器 如 何 找到 网 络 路 径 的 协议 。 有 关 TCP/IP 路 





由 选择 和 路 由 协议 的 更 多 知识 将 在 第 8 章 进 行 讲解 。 

注意 : 其 他 过 小 设备 

你 在 第 9 章 将 学 到 ， 像 网 桥 、 交 换 机 和 智能 HUB 这 样 的 网 络 设备 也 
都 可 以 过 滤 流 量 并 减少 网 络 拥塞 。 由 于 这 些 设备 使 用 的 都 是 物理 地 址 而 
不 是 逻辑 地 址 ， 因 此 它们 不 能 执行 图 1.4 中 所 示 的 复杂 路 由 功能 。 

1.3.3 名 称 解 析 


尽管 对 用 户 而 言 ， 数 字 化 的 IP 地 址 要 比 网 络 适配器 的 物理 地 址 更 方 
便 使 用 ， 但 是 IP 地 址 的 设计 初衷 是 方便 计算 机 的 操作 ， 而 不 是 用 户 。 人 
们 在 记忆 计算 机 的 地 址 是 111.121.131.146 还 是 111.121.131.156 时 ， 可 能 
会 相当 麻烦 。 因 此 ，TCP/IP 同 时 提供 了 IP 地 址 的 男 外 一 种 结构 ， 它 以 字 
母 数 字 命 名 ， 可 以 方便 用 户 的 使 用 。 这 种 结构 称 为 域名 或 域名 系统 
(Domain Name System，DNS) 。 域 名 到 耳 地 址 的 映射 称 为 名 称 解 析 。 
服务 器 的 专用 计算 机 中 存储 了 用 于 显示 域名 和 IP 地 址 转换 方式 

通常 与 E-mail 或 万 维 网 相关 联 的 计算 机 地 址 被 表示 为 DNS 名 称 〈 例 
如 ，www.microsoft.com、falcon.ukans.edu 和 idir.net) TCP/IP 的 域名 服务 
系统 提供 分 层 的 域名 服务 器 ， 这 些 服务 器 为 网 络 中 注册 DNS 的 计算 机 提 
供 域名 和 耳 地 址 之 间 的 映射 。 这 意味 着 用 户 几 乎 不 用 输入 或 解读 











(decipher〉 真实 的 IP 地 址 了 。 

DNS 是 用 于 Internet 的 域名 解析 系统 ， 也 是 最 常见 的 域名 解析 方法 。 
然而 ， 也 可 以 使 用 现 有 的 其 他 技术 将 字母 数字 化 的 域名 解析 为 了 地址 。 
这 些 可 用 的 蔡 代 系统 的 重要 性 在 近年 来 逐渐 淡化 ， 但 是 域名 解析 服务 ， 
例如 将 NetBIOS 解 析 为 IP 地 址 的 Windows Internet 命 名 服务 (WINS) 仍 

在 世界 范围 内 使 用 。 
人 尔 解 析 。 











TCP/IP 本 议 簇 提供 了 确保 数据 在 网 络 中 可 靠 传送 的 特性 。 这 些 特 
性 包括 检查 数据 的 传输 错误 (确保 到 达 的 数据 与 发 送 的 数据 一 至 和 确 
认 成 功 接收 到 网 络 信息 。TCP/IP 的 传输 层 〈 见 第 6 章 ) 通过 TCP 协 议定 
义 了 许多 这 样 的 错误 控制 、 流 量 控 制 和 确认 功能 。 位 于 TCP/IP 的 网 络 访 
a ( 见 第 3 章 ) 中 的 低层 协议 在 错误 控制 的 整体 系统 中 也 起 到 了 一 定 
用 


1.3.5 Mv 村 


在 同一 台 计 算 机 上 可 以 运行 多 种 网 络 应 用 程序 。 协 议 软件 必须 提供 
某 些 方法 来 判断 接收 到 的 数据 包 属 于 哪个 应 用 程序 。 在 TCP/IP 中 ， 这 
个 通过 系统 的 逻辑 通道 实现 从 网 络 到 应 用 程序 的 接口 被 称 为 端口 。 每 个 
端口 有 一 个 用 于 识别 该 端口 的 数字 。 可 以 把 端口 想象 为 计算 机 中 的 逻辑 
管道 ， 数 据 通 过 这 些 管道 实现 在 应 用 程序 和 协议 软件 之 间 的 传输 〈 见 图 
1.5) 。 

第 6 章 将 讲解 在 TCP/IP 传 输 层 的 TCP 和 UDP 端 口 。 应 用 程序 支持 和 
TCP/IP 应 用 层 将 在 第 7 章 详细 讲解 。 

TCP/IP 秘 还 包括 一 些 现成 的 应 用 程序 ， 用 来 辅助 各 种 网 络 任 务 。 


些 典 型 的 TCP/IP 功 能 见 表 1.1。 这 些 TCP/IP 功 能 的 详情 将 在 第 14 章 介 
绍 。 


一 








二 -一 网络 一 > 
图 1.5 应 用 程序 通过 称 为 端口 的 逻辑 通道 访问 Internet 
县 


表 1.1 典型 的 TCP/IP 工 具 








功能 用 途 

ftp 文件 传输 

lpr 打印 

ping 配置 / 排 错 
route 配置 / 排 错 
telnet 远程 终端 接 入 
traceroute 配置 /排除 排 错 


注意 : 新 纪元 

在 本 书 编写 之 时 ，TCP/IP 实际 上 已 经 进入 了 一 个 新 的 阶段 。 像 无 
线 网 络 、 虚 拟 专 用 网 络 (VPN) 和 NAT 这 样 的 新 技术 增加 了 新 的 复杂 
性 ， 这 是 TCP/IP 的 创造 者 难以 想象 的 。 而 且 下 一 代 IP 地 址 协议 IPv6 很 快 
就 会 改变 IP 编 址 的 格局 。 本 书后 面 的 章节 将 会 详细 介绍 这 些 技术 。 





1.4 标准 组 织 和 RFC 


有 多 家 组 织 一 直 在 致力 于 TCP/IP 和 Internet 的 开发 。 在 过 去 和 现在 
仍然 致力 于 TCP/IP 的 组 织 有 下 面 几 家 。 

> Internet 架 构 委 员 会 (IAB) : 设置 Internet 的 策略 和 负责 TCP/IP 
标准 未 来 发 展 的 理事 会 。 

> Internet 工 程 任务 组 (IETF)〉: 研究 和 管辖 工程 任务 的 组 织 。 
IETF 被 划分 为 研究 TCP/IP 和 Internet 具 体内 容 (比如 应 用 、 路 由 选择 、 
网 络 管理 等 ) 的 工作 组 。 

> Internet 研 究 任 务 组 (IRTF): IAB 的 分 支 机 构 ， 致 力 于 长 期 的 
研究 。 

> 互联 网 名 称 与 数字 地 址 分 配 机 构 CICNN) : 成 并 于 1998 年 ， 
协调 Intemet 域 名 、IP 地 址 和 全 球 唯一 协议 参数 (比如 瘦 口 号) 的 分 配 
(WWW.icann.com) 。 

由 于 TCP/IP 是 一 个 标准 开放 的 系统 ， 不 被 任何 公司 或 个 人 持 有 ， 因 
此 Internet 社 区 需要 一 个 全 面 、 独 立 而 且 中 立 于 厂 丙 的 过 程 ， 来 提出 、 讨 
论 和 发 布 对 TCP/IP 所 做 的 变更 和 添加 。TCP/IP 的 大 多 数 官方 文档 都 通 是 
通过 一 系列 的 RFC 发 布 的 。RFC 的 库 包含 了 Internet 标 准 来 自 工 作 组 的 报 
告 。IETF 的 官方 规范 也 是 以 RFC 形 式 发 布 的 。 多 数 RFC 则 在 解释 TCP/IP 
或 Internet 的 某 一 方面 。 在 本 书 中 你 会 发 现 引 用 了 多 个 RFC， 这 是 因为 
TCP/IP 簇 是 在 一 个 或 多 个 RFC 文 档 中 定义 的 。 尽 管 大 多 数 的 RFC 是 由 行 
业 工 作 组 和 研究 机 构 创 建 的 ， 但 是 任何 人 都 可 以 提交 RFC 以 供 审 查 。 你 
可 以 将 提出 的 RFC (proposed RFC) 发 送 给 IETF， 或 者 是 直接 通过 邮件 
将 RFC 提 交 给 RFC 编 辑 ， 其 地 址 为 rfc-editor@rfc-editor.org。 

RFC 为 想 深 入 了 解 TCP/IP 的 任何 人 提供 了 必要 的 技术 背景 ， 其 中 
包括 有 关 协 议 、 功 能 和 服务 的 技术 论文 ， 以 及 一 些 与 TCP/IP 相 关 的 一 些 
诗歌 ， 虽 然 这 与 TCP/IP 的 简洁 和 经 济 并 不 匹配 。 

在 Internet 的 多 个 地 方 都 可 以 找到 RFC， 比 如 www.rfc-editor.org。 表 
1.2 列 出 了 几 个 有 代表 性 的 RFC。 


表 1.2 Internet RFC 中 的 一 些 示例 
































编号 标题 

791 Internet Protocol (IP) 

792 Internet Control Message Protocol (ICMP ) 

793 Transmission Control Protocol 

959 File Transfer Protocol 

968 Twas the Night Before Start-up 

1180 TCP/IP Tutorial 

1188 Proposed Standard for Transmission of Datagrams over FDDI Networks 
2097 The PPP NetBIOS Frames Control Protocol 

4831 Network-Based Localized Mobility Management 


1.5 小 结 


本 章 介绍 了 什么 是 网 络 ， 以 及 为 什么 网 络 需要 协议 。 我 们 知道 了 
TCP/IP 起 源 于 美国 国防 部 的 实验 性 ARPAnet 网 络 ， 以 及 TCP/IP 则 在 在 多 
样 化 的 环境 中 提供 分 散 的 连 网 方式 。 

本 章 还 介绍 了 TCP/P 的 几 个 重要 特性 ， 例 如 逻辑 编 址 、 名 称 解析 
和 应 用 支持 。 还 概述 了 TCP/IP 的 几 个 监管 组 织 和 RFC 文 档 〈( 作 为 TCP/IP 
和 JInternet 的 官方 文档 的 技术 论文 ) 。 


1.6 问 与 答 





问 : 协议 标准 和 协议 实现 之 间 的 不 同 是 什么 ? 

答 : 协议 标准 是 一 系列 规则 。 协 议 实 现 是 应 用 这 些 规则 的 软件 组 
件 ， 使 得 计算 机 能 够 具有 连 网 功能 。 

问 : 为 什么 端点 验证 是 ARPAnet 的 一 个 重要 特性 ? 

答 : 按照 设计 ， 网 络 不 应 该 由 任何 中 心 节 点 来 控制 。 因 此 发 送 和 接 
收 数据 的 计算 机 必须 负责 验证 自己 的 通信 。 

问 : 为 什么 较 大 网 络 使 用 名 称 解 析 ? 

答 : IP 地 址 不 便于 记忆 并 容易 搞 错 。DNS 样 式 的 域名 容易 记忆 ， 因 
为 它们 允许 将 一 个 单词 或 名 字 与 PP 地 址 相关 联 。 


1.7 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问 题 则 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问 题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 











1.7.1 问题 

1. 什么 是 网 络 协议 ? 

2. TCP/IP 的 哪 两 个 特性 使 得 TCP 可 以 在 分 散 的 环境 中 运行 ? 
3. 什么 系统 负责 域名 和 IP 地 址 之 间 的 映射 ? 

4. 什么 是 RFC? 

5. 什么 是 端口 ? 

1.7.2 练习 


1. 访问 www.rfc-editor.org， 并 查看 几 个 RFC。 

2. 通过 datatracker.ietf.org/wg/ 网 站 来 访问 IETF， 并 但 看 儿 个 活跃 的 
工作 组 。 

3. 通过 www.irtf.org 来 访问 IRTF， 并 查看 正在 进行 的 研究 。 

4. 通过 www.icann.org/en/about/ 来 查看 ICANN 的 About 页 面 ， 并 了 
解 ICANN 的 任务 。 

5. 阅读 RFC 1160， 以 了 解 I AB 和 IETF 在 1990 年 之 前 的 历史 。 





1.8 关键 术语 


复习 下 列 关 键 术 语 : 

> ARPAnet: 一 种 实验 性 网 络 ， 也 是 TCP/IP 的 诞生 地 。 
和 域名 : 通过 TCP/P 的 DNS 域名 服务 系统 ， 与 耳 地 址 相关 联 的 名 
子 。 

> 网 关 : 连接 LAN 到 大 型 网 络 的 路 由 器 。 在 专属 LAN 协 议 当 道 的 
时 期 ， 术 语 “ 网 关 ” 有 时 指 执行 一 些 协议 转换 的 路 由 器 。 

> IP 地 址 : 用 于 定位 TCP/IP 网 络 上 计算 机 或 其 他 连 网 设备 的 逻辑 
地 址 〈 例 如 ， 打 印 机 ) 。 

局 域 网 CLAN) : 供 单 个 办 公 室 、 组 织 或 家 庭 使 用 的 小 型 网 
络 ， 通 常 只 占据 一 个 地 理 位 置 。 

> 逻辑 地 址 : 通过 协议 软件 配置 的 网 络 地 址 。 

> 域名 服务 : 将 网 络 地 址 与 便于 人 记忆 的 名 字 相 关联 的 一 种 服 
务 。 提 供 该 服务 的 计算 机 被 称 为 域名 服务 器 ， 将 名 字 解 析 为 地 址 的 行为 
称 为 名 称 解析 。 
> 网 络 协议 : 对 通信 过 程 的 一 个 具体 方面 进行 定义 的 一 组 通用 规 
则 。 

> 物理 地 址 : 与 网 络 人 硬件 相关 的 地 址 。 在 以 太 网 适配器 中 ， 物 理 
地 址 通常 在 适配器 出 场 之 前 分 配给 它 。 








> 端口 : 一 种 内 部 通道 或 地 址 ， 它 在 应 用 程序 和 TCP/IP 传 输 层 之 
间 提 供 了 一 个 接口 。 

> 专属 : 有 私有 实体 (比如 一 个 公司 ) 控制 的 技术 。 

> 协议 实现 : 实现 了 协议 标准 中 定义 的 通信 规则 的 软件 组 件 。 

> RFC: 提供 有 关 TCP/IP 或 Internet 信 息 的 官方 技术 文档 。 可 以 在 
网 络 的 多 个 地 方 找到 RFC， 例 如 www.rfc-editor.org。 

> 路 由 器 : 通过 逻辑 地 址 来 转发 数据 的 一 种 网 络 设备 ， 并 且 也 可 
以 用 来 将 大 型 网 络 分 为 几 个 较 小 的 子 网 。 

> TCP/IP: 在 Intemet 和 很 多 其 他 网 络 上 使 用 的 网 络 协议 簇 。 





第 2 章 TCP/IP 的 工作 方式 


本 章 介 绍 如 下 内 容 : 

> TCP/IP 协 议 系 统 ; 

> OSI 模型 ; 

> 数据 包 ，; 

> TCP/IP 的 交互 方式 。 

TCP/IP 是 一 个 协议 系统 或 协议 秘 ， 而 每 个 协议 都 是 由 规则 与 过 程 组 
成 的 系统 。 在 大 多 数 情况 下 ， 通 信 计 算 机 的 硬件 和 软件 实现 TCP/IP 通 信 
的 规则 ， 用 户 不 必 关 心 其 中 的 细节 。 但 是 ， 如 果 想 对 TCP/IP 网 络 进行 配 
置 或 故障 排 错 ， 就 有 必要 掌握 TCP/IP 知 识 了 。 


本 章 将 介绍 TCP/IP 协 议 系统 ， 以 及 TCP/IP 组 件 如 何 协同 工作 ， 以 在 
网 络 上 发 送 和 接收 数据 。 


学 完 本 章 后 ， 你 可 以 : 

> 描述 TCP/IP 协 议 系 统 的 分 层 以 及 各 层 的 功能 ; 

> 摘 述 OSI 协 议 模 型 的 分 层 并 解释 OSI 分 层 与 TCP/IP 的 关系 ; 

> 解释 TCP/PP 协 议 的 报头 ， 以 及 数据 在 协议 栈 的 每 一 层 ， 是 如 何 
使 用 该 层 的 报头 信息 进行 封装 的 ; 

> 对 位 于 TCP/IP 协 议 栈 每 一 层 的 数据 包 进 行 命名 ; 

> 讨论 TCP、UDP 和 IP 协 议 ， 以 及 它们 如 何 共 同 实现 TCP/IP 功 能 。 





2.1 TCP/IP 协 议 系 乡 





在 介绍 TCP/IP 的 组 成 部 分 之 前 ， 最 好 先 简 要 了 解 协 议 系 统 的 职责 。 
像 TCP/IP 这 样 的 协议 系统 必须 负责 完成 以 下 任务 。 


> 把 消息 分 解 为 可 管理 的 数据 块 ， 并 且 这 些 数据 块 能 够 有 效 地 通 
过 传输 介质 。 

> 与 网 络 适配器 硬件 连接 。 

> 寻 址 ， 即 发 送 端 计算 机 必须 能 够 定位 到 接收 数据 的 计算 机 ， 接 
收 计 算 机 必须 能 够 识别 自己 要 接收 的 数据 。 

将 数据 路 由 到 目的 计算 机 所 在 的 子 网 ， 即 使 源 子 网 和 目的 子 网 
分 处 不 同 的 物理 网 络 。 

> 执行 错误 控制 、 流 量 控 制 和 确认 : 对 可 靠 的 通信 而 言 ， 发 送 和 
接收 计算 机 必须 能 够 发 现 并 纠正 传输 错误 ， 并 控制 数据 流 。 

> 从 应 用 程序 接收 数据 并 传输 到 网 络 。 

> 从 网 络 接收 数据 并 传输 到 应 用 程序 。 

为 了 实现 上 述 功 能 ，TCP/IP 的 创建 者 使 用 了 模块 化 的 设计 。 
TCP/P 协议 系统 被 分 为 不 同 的 组 件 ， 这 些 组 件 从 理论 上 来 说 能 够 相互 
独立 地 实现 自己 的 功能 。 每 个 组 件 分 别 负 责 通信 过 程 中 的 一 个 步 又。 

这 种 模块 化 设计 的 好 处 在 于 让 厂商 方便 地 根据 特定 硬件 和 操作 系统 
对 协议 软件 进行 修改 。 例 如 ， 网 络 访问 层 〈 第 3 章 将 学 到 ) 包含 了 与 物 
理 网 络 规范 和 设计 相关 的 功能 ， 由 于 TCP/IP 的 模块 化 设计 ， 像 Microsoft 
这 样 的 厂商 在 使 用 光纤 网 络 时 就 不 必 重 新 构建 一 个 全 新 的 TCP/IP 软 件 
包 ， 上 层 不 会 受到 网 络 物理 结构 变化 的 影响 ， 只 要 修改 网 络 访问 层 即 
可 。 

TCP/IP 协 议 系统 划分 为 不 同 层次 的 组 件 ， 分 别 实现 特定 的 功能 ( 见 
图 2.1) 。 这 个 模型 或 栈 来 自 于 早期 的 TCP/P， 有 时 也 被 称 为 TCP/IP 模 
型 。 下 面 的 列表 描述 了 官方 的 TCP/IP 协 议 层 及 其 功能 ， 把 它 与 前 面 列 出 
人 


注意 : 许多 模型 

图 2.1 中 的 四 层 模型 是 描述 TCP/IP 网 络 的 常见 模型 ， 但 并 不 是 唯一 
的 模型 。 比 如 RFC 871 中 描述 的 ARPAnet 模 型 有 3 层 : 网 络 接 口 层 、 主 机 
到 主机 层 和 处 理 / 应 用 层 。 其 他 的 一 些 TCP/IP 模 型 包含 5 层 : 用 物理 层 和 
数据 链 路 层 代 替 了 网 络 访问 层 〈 与 OSI 相 匹 配 ) 。 还 有 些 模型 可 能 不 包 
含 网 络 访问 层 或 应 用 层 ， 因 为 这 些 层 的 定义 并 不 是 非常 一 致 ， 而 且 比 中 
间 层 更 难以 明确 定义 。 而 且 每 一 层 的 名 字 也 不 相同 。ARPAnet 各 层 的 名 
人 
区 络 质 。 

本 书 中 使 用 的 是 四 层 模型 ， 其 名 字 如 图 2.1 中 所 示 。 














图 2.1 TCP/IP 模型 的 协议 层 


> 网 络 访问 层 : 提供 了 与 物理 网 络 连 接 的 接口 。 针 对 传输 介质 设 
置 数据 的 格式 ， 根 据 硬件 的 物理 地 址 实现 数据 的 寻 址 ， 对 数据 在 物理 网 
络 中 的 传递 提供 错误 控制 。 

> 网 际 层 : 提供 独立 于 硬件 的 逻辑 寻 址 ， 从 而 让 数据 能 够 在 具有 
不 同 物理 结构 的 子 网 之 间 传 递 。 提 供 路 由 功能 来 降低 流量 ， 支 持 网 间 的 
数据 传递 (术语 “网 间 ”(intemetwork) 指 的 是 多 个 局 域 网 互相 连接 而 形 
成 的 较 大 的 网 络 ， 比 如 大 公司 里 的 网 络 或 Intemet) 。 实 现 物 理 地 址 (网 
络 访问 层 使 用 的 地 址 ) 与 逻辑 地 址 的 转换 。 

> 传输 层 为 网 络 提供 了 流量 控制 、 错 误 控制 和 确认 服务 。 充 当 
网 络 应 用 程序 的 接口 。 

> 应 用 层 : 为 网 络 排 错 、 文 件 传输 、 远 程控 制 和 Internet 操作 提供 
了 应 用 程序 ， 还 支持 应 用 编程 接口 (API) ， 从 而 使 得 针对 特定 操作 系 
人 
一 层 的 行为 。 

当 TCP/P 协议 软件 准备 通过 网 络 传递 数据 时 ， 发 送 端 计算 机 上 的 
每 一 层 协 议 都 在 数据 上 添加 层 信息 ， 对 应 于 接收 端 计算 机 上 相应 的 层 。 
例如 ， 发 送 端 计算 机 的 网 际 层 会 问 数 据 添 加 报头 信息 ， 这 些 信息 对 于 接 
收 端 计 算 机 的 网 际 层 是 十 分 重要 的 。 这 个 过 程 有 时 也 被 称 为 封装 。 在 接 
人 

在 计算 机 行业 中 ,“ 层 ”这 个 术语 在 协议 组 件 层 级 (比如 图 2.1 中 的 协 
议 层 组 件 级 ) 得 到 了 广泛 应 用 。 当 数据 在 协议 栈 的 组 件 之 间 传 递 时 ， 每 
人 
十 二 俞 。 

图 2.1 所 示 为 数据 要 经 过 一 系列 接口 传输 的 示意 图 。 只 要 接口 保持 





























不 变 ， 一 个 组 件 内 的 处 理 过 程 就 不 会 影响 到 另 一 个 组 件 。 把 图 2.1 横 过 

来 看 ， 它 就 像 一 条 流水 线 ， 这 也 是 对 于 协议 组 件 关 系 的 一 个 很 好 的 比 

i 
进行 处 理 。 


2.2 TCP/IP 和 OSI 模 型 


网 络 业 界 针 对 网 络 协 议 体 系 有 一 个 标准 的 七 层 模 型 ， 称 为 “开放 系 
统 互 连 (OSI) ”模型 ， 这 是 ISO (国际 标准 化 组 织 ) 为 了 标准 化 网 络 协 
议 系 统 所 做 出 的 规范 ， 旨 在 提高 网 络 互 连 性 ， 并 且 方 便 软 件 开发 人 员 以 
一 种 开放 方式 来 使 用 协议 标准 。 

当 OSI 标 准 体系 出 现时 ，TCP/IP 已 经 处 于 开发 过 程 之 中 了 。 严 格 来 
讲 ，TCP/IP 没 有 遵守 OSI 模 型 ， 然 而 这 两 种 模型 的 确 具 有 类 似 的 目标 ， 
而 且 它 们 的 设计 者 之 间 有 足够 的 交互 ， 所 以 它们 具有 一 定 的 兼容 性 。 
OSI 模型 对 于 协议 实现 的 开发 与 发 展 具 有 非常 大 的 影响 力 ， 所 以 了 解 
OSI 术语 如 何 应 用 于 TCP/P 是 理 所 应 当 的 。 

图 2.2 所 示 为 TCP/PP 标 准 四 层 模 型 与 OSI 七 层 模型 之 间 的 关系 。 注 意 
到 OSI 模型 把 应 用 层 的 功能 划分 到 3 个 层 : 应 用 层 、 表 示 层 和 会 话 层 。 
OSI 还 把 网 络 访问 层 的 功能 划分 到 数据 链 路 层 和 物理 层 。 这 种 新 增 的 细 
分 带 来 了 一 定 的 复杂 性 ， 但 是 通过 让 协议 层 具有 更 明确 的 服务 ， 也 为 开 
发 人 员 提 供 了 灵活 性 。 尤 其 是 在 底层 对 数据 链 路 层 和 物理 层 的 划分 ， 就 
把 通信 组 织 相关 的 功能 与 访问 通信 介质 的 功能 分 离开 了 。 而 OSI 的 最 上 
三 层 让 应 用 程序 能 够 以 更 灵活 的 方式 与 协议 栈 进 行 交 互 。 
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图 2.2 OSI 七 层 模 型 


OSI 模型 的 7 层 分 别 如 下 所 示 。 

> 物理 层 : 把 数据 转换 为 传输 介质 上 的 电子 流 或 模拟 脉冲 ， 并 且 
监视 数据 的 传输 。 
人 

> 网 络 层 : 支持 逻辑 寻 址 与 路 由 选择 。 

> 传输 层 : 为 网 络 提供 错误 控制 和 数据 流 控 制 。 

> 会 话 层 : 在 计算 机 的 通信 应 用 程序 之 间 建 立会 话 。 

> 表示 层 : 把 数据 转换 为 标准 格式 ， 管 理 数 据 加 密 与 压缩 。 

应 用 层 : 为 应 用 程序 提供 网 络 接 口 ， 文 持 文件 传输 、 通 信 等 功 
能 的 网 络 应 用 。 

需要 注意 的 是 ，TCP/IP 模 型 与 OSI 模 型 都 是 标准 ， 而 不 是 实现 。 
TCP/IP 的 具体 实现 并 没有 严格 遵守 图 2.1 和 图 2.2 中 的 模型 ， 而 图 2.2 所 示 
的 完美 通信 关系 在 业界 也 有 不 同意 见 。 

注意 到 在 重要 的 传输 层 和 网 际 层 〈 在 OSI 里 被 称 为 网 络 层 ) ，OSI 
和 TCP/IP 模 型 是 最 相似 的 ， 这 些 层 包含 的 组 件 最 能 体现 网 络 协议 之 间 的 
区 别 ， 所 以 很 多 协议 根据 其 传输 层 和 网 络 层 进行 命名 并 不 是 一 种 偶然 。 


网 际 层 


网 络 访问 层 

















在 本 书后 面 的 学 习 中 你 会 知道 ，TCP/IP 协 议 徐 的 名 称 就 来 自 于 TCP (一 
个 传输 层 协 议 ) 和 IP (一 个 网 际 层 / 网 络 层 协 议 )。 


2.3 数据 包 


关于 TCP/IP 协 议 栈 需 要 强调 的 是 ， 其 中 每 一 层 都 在 整个 通信 过 程 中 
都 扮演 一 定 的 角色 ， 并 调用 必要 的 服务 来 完成 相应 的 功能 。 在 数据 发 送 
过 程 中 ， 其 流程 是 从 堆栈 的 上 到 下 ， 每 一 层 都 把 相关 的 信息 修 称 
为 “报头 ”) 捆绑 到 实际 的 数据 上 。 包 含 报头 信息 和 数据 的 数据 包 就 作为 
下 一 层 的 数据 ， 再 次 极 添 加 报头 信息 和 重新 打包 。 这 个 过 程 如 图 2.3 所 
示 。 当 数据 到 达 目 的 计算 机 时 ， 接 收 过 程 恰恰 是 相反 的 ， 在 数据 从 下 到 
十 经 过 协议 栈 的 过 程 中 ， 每 一 层 都 解 开 相应 的 报关 并 且 使 用 其 中 的 信 


当 数 据 从 上 至 下 通过 协议 栈 时 ， 其 情形 有 点 像 俄罗斯 的 套 娃 。 最 里 
面 的 娃娃 被 套 在 稍 大 的 娃娃 里 ， 后 者 义 和 被 装 在 更 大 一 些 的 娃娃 里 ， 以 此 
类 推 。 在 接收 端 ， 当 数据 从 下 至 上 经 过 协议 栈 时 ， 数 据 包 被 逐渐 解 包 。 
接收 端 计算 机 上 的 网 际 层 会 使 用 网 际 层 的 头 信息 ， 传 输 层 会 使 用 传输 层 
的 报 尖 信息。 在 每 一 层 中 ， 数 据 包 的 格式 都 能 向 相应 的 层 提供 必要 的 信 
恩 。 由 于 每 一 层 分别 上 共有 不 同 的 功能 ， 所 以 每 一 层 基 本 数据 包 的 形式 也 
是 千差万别 的 。 
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图 2.3 在 每 一 层 ， 都 要 使 用 该 层 的 报头 信息 对 数据 重新 打包 


注意 : 传输 套 娃 

网 络 界 不仅 有 很 多 缩写 名 词 ， 也 有 很 多 类 比 ， 比 如 前 面 提 到 的 俄 罗 
斯 套 娃 ， 它 们 可 以 形象 地 展示 茶 些 概念 ， 但 不 应 被 过 度 使 用 。 需 要 指出 
的 是 ， 在 物理 网 络 中 (比如 以 太 网 ) ， 数 据 在 网 络 访问 层 被 分 解 为 较 小 
的 单元 。 对 此 更 准确 的 比喻 是 把 套 娃 分 解 为 碎片 ， 把 这 些 雁 片 封装 到 很 
小 的 娃娃 里 ， 再 把 它们 以 1 和 0 的 模式 表示 。 接 收 问 收 到 这 些 1 和 0 之 后 ， 
重新 组 合 为 小 娃娃 ， 再 重建 整个 套 娃 。 整 个 过 程 是 相当 复杂 ， 上 所 以 很 多 
人 不 使 用 套 娃 作 为 比喻 。 
要 

> 在 应 用 层 生成 的 数据 包 被 称 为 消息 。 

在 传输 层 生 成 的 数据 包 封装 了 应 用 层 的 消息 ， 如 果 它 来 目 于 传 
和 输 层 的 TCP 协 议 ， 就 被 称 为 分 段 ; 如 果 来 自 于 传输 层 的 UDP 协议 ， 就 被 
称 为 数据 报 。 

> 在 网 际 层 的 数据 包 封 法 了 传输 层 的 片段 ， 被 称 为 数据 报 。 

> 在 网 络 访问 层 的 数据 包 封 装 了 数据 报 而 且 可 能 对 其 进行 再 分 
解 》， 被 称 为 帧 。 帧 被 访问 层 里 的 最 低 子 层 转 化 为 比特 流 。 

本 书后 面 的 章节 将 更 详细 地 介绍 每 一 层 的 数据 包 。 








关于 协议 系统 分 层 的 介绍 到 处 可 见 。 这 种 分 层 方式 的 确 可 以 让 我 们 
深入 理解 协议 系统 ， 而 且 如 果 不 介 绍 分 层 体系 也 就 不 可 能 描述 
TCP/IP， 但 是 只 关注 各 个 协议 层 也 有 一 定 的 局 限 性 。 

首先 ， 讨 论 协议 层 而 不 是 协议 会 使 本 来 就 非常 抽象 的 概念 更 加 抽 
象 。 其 次 ， 详 细 列 出 协议 层 里 的 各 种 协议 会 使 人 误 认 为 它们 是 同等 重要 
的 。 实 际 上 ， 虽 然 TCP/AP 协 议 复 里 每 个 协议 都 有 目 己 的 作用 ， 但 TCP/TP 
协议 簇 的 主要 功能 是 可 以 通过 几 个 最 重要 的 协议 来 完成 的 。 在 了 解 了 前 
人 


”图 2.4 描 述 了 基本 的 TCP/P 协 议 连 网 系统 。 当 然 ， 在 完整 的 数据 包 
里 还 包含 其 他 的 协议 和 服务 ， 图 中 展示 的 是 最 主要 的 部 分 ， 
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图 2.4 基本 的 TCP/IP 联 网 系统 
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基本 场景 如 下 。 

1. 数据 从 工作 于 应 用 层 的 协议 、 网 络 服务 或 应 用 编程 接口 (APT) 
通过 TCP 或 UDP 端口 传递 到 两 个 传输 层 协 议 〈TCP 或 UDP) 中 的 一 个 。 
程序 可 以 根据 需要 通过 TCP 或 UDP 访问 网 络 。 

> TCP 是 面向 连接 的 协议 。 第 6 章 将 讲 到 ， 与 无 连接 的 协议 相 比 ， 
面向 连接 的 协议 提供 更 复杂 的 流量 控制 和 错误 控制 。TCP 能 够 确保 数据 
的 发 送 质量 ， 比 UDP 更 可 靠 ， 但 由 于 需要 进行 额外 的 错误 检测 和 流量 控 
制 ， 因 此 比 UDP 的 速度 慢 。 

> UDP 是 个 无 连接 的 协议 ， 比 TCP 快 ， 但 是 不 可 靠 ， 它 把 错误 控 
制 的 责任 推 给 了 应 用 。 

2. 数据 分 段 传 递 到 网 际 层 ， 了 协议 在 此 提供 逻辑 寻 址 信息 ， 并 且 
把 数据 封装 为 数据 报 。 

3. IP 数据 报 进 入 网 络 访问 层 ， 传 递 到 与 物理 网 络 相 连接 的 软件 组 
件 。 网 络 访问 层 创 建 一 个 或 多 个 数据 帧 ， 从 而 进入 到 物理 网 络 。 在 像 以 
太 网 这 样 的 局 域 网 系统 中 ， 帧 可 能 包含 从 表格 里 获得 的 物理 地 址 信息 ， 
而 这 些 表 格 是 由 网 际 层 的 ARP 维 护 的 (ARP 是 地 址 解析 协议 ， 把 IP 地 址 
转换 为 物理 地 址 ) 。 

4. 数据 帧 被 转化 为 比特 流 ， 通 过 网 络 介 质 进 行 传输 。 

当然 ， 每 个 协议 在 实现 其 功能 时 还 涉及 很 多 的 细节 ， 比 如 TCP 如 何 
提供 流量 控制 、ARP 如 何 将 物理 地 址 映射 为 IP 地 址 ， 以 及 IP 如 何 知 道 应 
该 向 其 他 子 网 的 地 址 发 送 数 据 报 。 这 些 问 题 将 在 本 书 的 后 续 章 节 介 绍 。 


2.5 小 络 


本 章 介 绍 了 TCP/IP 协 议 栈 的 分 层 结 构 及 其 之 间 的 相互 关系 ， 还 讲解 
了 经 典 的 TCP/IP 模 型 与 OSI 七 层 模 型 之 间 的 关系 。 在 协议 栈 的 每 一 个 层 
中 ， 数 据 都 被 进行 了 封闭， 添加 了 接收 端 相应 层 所 需 的 信息 。 本 章 讨 论 
了 在 每 个 协议 层 封 装 报头 信息 的 过 程 ， 概 述 了 每 一 层 数 据 包 的 名 称 。 最 
后 ， 我 们 还 通过 TCP/P 的 一 些 最 重要 的 协议 概述 了 它 是 如 何 运行 的 ， 这 
些 协议 包括 TCP、UDP、IP 和 RAPP。 

















2.6 问 与 答 


问 : TCP/P 模 块 化 设计 的 主要 优点 是 什么 ? 

答 : 由 于 TCP/IP 的 模块 化 设计 ，TCP/IP 协 议 栈 能 够 方便 地 进行 修改 
来 适应 特定 的 硬件 和 操作 环境 。 将 网 络 软件 划分 为 具体 的 、 设 计 和 良好 的 
组 件 ， 有 助 于 开发 人 员 更 容易 地 编写 出 于 协议 系统 进行 交互 的 程序 。 


问 : 网 络 访问 层 提 供 了 什么 功能 ? 

答 : 网 络 访问 层 提供 了 与 特定 物理 网 络 相 关 的 服务 ， 包 括 基于 特定 
传输 介质 比如 以 太 网 电缆 准备、 发送 和 接收 数据 帧 。 

问 : OSI 模 型 的 哪 一 层 对 应 于 TCP/IP 的 网 际 层 ? 

答 : OSI 的 网 络 层 对 应 于 TCP/IP 的 网 际 层 。 

问 : 为 什么 要 在 TCP/IP 协 议 栈 的 每 一 层 封 装 报 头 信 息 ? 
因为 接收 设备 上 每 个 协议 层 需 要 不 同 的 信息 来 处 理 收 到 的 数 
据 ， 所 以 发 送 设备 上 的 每 一 层 就 封装 相应 的 报头 信息 。 


2.7 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问 题 则 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 由 在 为 读者 提供 一 一 个 机 会 来 应 用 本 音 讲 解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 

2.7.1 问题 


1. OSI 的 哪 两 层 对 应 于 TCP/IP 的 网 络 接 入 层 ? 
2. TCP/IP 的 哪 一 层 负 责 将 数据 从 一 台 计 算 机 路 由 到 另外 一 台 计 算 


机 ? 

. 与 TCP 相 比 ，UPD 的 优势 和 和 劣势 分 别 是 什么 ? 
有 层 处 理 帧 ? 

一 层 封装 数据 的 真实 含义 是 什么 ? 
a 
1. 列举 TCP/IP 协 议 栈 中 每 一 层 所 执行 的 功能 
2. 列 出 处 理 数 据 报 的 层 。 
3. 如 何 修 改 TCP/IP， 才 能 使 用 新 发 明 的 网 络 类 型 ? 
4. 为 什么 说 TCP/IP 是 可 靠 的 协议 ? 


2.8 关键 术语 


复习 下 列 关 键 术语 : 

> 地 址 解析 协议 〈ARP) ; 将 逻辑 IP 地 址 解析 为 物理 地 址 的 协 
议 。 

> 应 用 层 : TCP/IP 栈 中 的 一 层 ， 它 支持 网 络 应 用 ， 提 供与 本 地 操 
作 环 境 相 交互 的 接口 。 

> 数据 报 : 从 网 际 层 传 输 到 网 络 访问 层 的 数据 包 ， 或 是 从 传输 层 





不 


RO 


的 UDP 传递 到 网 际 层 的 数据 包 。 

> 帧 : 在 网 络 访问 层 创 建 的 数据 包 。 

> 报头 : 在 协议 栈 每 一 层 附 加 到 数据 上 的 协议 信息 。 

> 网 际 层 : TCP/IP 栈 中 的 一 层 ， 提 供 迎 辑 寻 址 和 路 由 选择 。 

> IP: 网 际 层 的 协议 ， 提 供 逻 辑 寻 址 和 路 由 选择 功能 。 

> 消息 : 在 TCP/IP 网 络 中 ， 消 息 是 从 应 用 层 传递 到 传输 层 的 数据 
。 该 属于 通常 也 用 于 描述 从 网 络 上 一 个 实体 传递 到 另 一 个 实体 的 信 
， 它 并 不 总 是 指 应 用 层 数据 包 。 

网 络 访问 层 : TCP/IP 协 议 中 的 一 层 ， 提 供与 物理 网 络 连 接 的 接 


ui ey 


> 分 段 ， 从 传输 层 的 TCP 传 递 到 网 际 层 的 数据 包 。 

> TCP 传输 控制 协议 ) : 传输 层 中 一 个 可 徘 的 、 面 辐 连 接 的 协 
议 。 

> 传输 层 : TCP/IP 协 议 栈 中 的 一 层 ， 提 供 错误 控制 和 确认 功能 ， 
并 充当 网 络 应 用 程序 的 接口 。 
> UDP《〈 用 户 数据 报 协议 ) : 传输 层 中 一 个 不 可 靠 的 、 无 连接 的 
办 议 。 
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本 章 介 绍 如 下 内 容 : 

> 物理 地 址 ; 

> 网 络 体系 ; 

> 以 太 网 帧 。 

TCP/PP 协 议 栈 的 最 底层 是 网 络 访 问 层 ， 其 中 包含 的 服务 与 规范 提供 
并 管理 着 对 网 络 人 硬件 的 访问 。 本 章 将 介绍 网 络 访问 层 的 功能 及 其 与 OSI 
模型 的 关系 ， 还 会 详细 介绍 称 之 为 以 太 网 的 这 种 网 络 技术 。 

学 完 本 章 后 ， 你 可 以 : 

> 解释 网 络 访问 层 ; 

> 掌握 TCP/IP 的 网 络 访问 层 与 OSI 网 络 模型 的 关系 ; 

> 掌握 网 络 体系 结构 的 作用 ; 

> 列 出 以 太 网 帧 的 内 容 。 


3.1 协议 和 ft 


网 络 访问 层 是 最 神秘 、 最 不 统一 的 TCP/IP 层 ， 它 管理 为 物理 网 络 
准备 数据 所 必需 的 服务 与 功能 ， 包 括 : 
> 与 计算 机 网 络 适配器 的 连接 ; 
> 根据 合适 的 访问 方式 调整 数据 传输 ; 
0 
出 ; 
> 对 接收 到 的 数据 进行 错误 检查 ; 
> 给 发 送 的 数据 添加 错误 检查 信息 ， 从 而 让 接收 端 计算 机 能 够 对 
数据 进行 错误 检查 。 


当然 ， 当 数据 到 达 目 的 地 被 目的 计算 机 接收 时 ， 对 发 送 数据 所 做 的 
任何 格式 化 操作 都 必须 能 以 相反 方式 恢复 。 

网 络 访问 层 定义 了 与 网 络 硬 件 交 互 和 访问 传输 介质 的 过 程 ， 在 
TCP/IP 网 络 访问 层 的 下 面 ， 将 会 发 现 硬件 、 软 件 和 传输 介质 规范 之 间 
复杂 的 相互 作用 。 不 幸 的 是 ， 现 实 世界 中 存在 着 很 多 不 同类 型 的 物理 网 
络 ， 它 们 都 具有 自己 的 规范 ， 而 且 都 可 能 作为 网 络 访问 层 的 底层 。 

好 在 网 络 访问 层 对 于 日 常用 户 来 说 几乎 是 完全 透明 的 。 网 络 适配器 
与 操作 系统 和 协议 软件 的 一 些 关 键 底层 组 件 ， 管 理 与 网 络 访问 层 相 关 的 
主要 任务 ， 用 户 只 需要 进行 一 些 简 单 的 配置 步骤 即 可 。 而 昌 面 操作 系统 
不 断 完 善 的 即 插 即 用 和 自动 配置 特性 进一步 简化 了 这 些 步骤 。 

在 学 习 本 章 的 过 程 中 ， 一 定 要 牢记 第 1、2、4、5 章 里 讨论 的 逻辑 IP 
地 址 只 存在 于 软件 之 中 。 协 议 系 统 需 要 其 他 服务 在 特定 局 域 网 系统 把 数 
0 0 ss 

注意 : 是 否 应 该 讨论 网 络 访问 层 

由 于 网 络 访问 层 的 多 样 性 、 复 杂 性 和 透明 性 ， 有 些 作 者 在 讨论 
TCP/IP 时 完全 没有 涉及 它 ， 束 好 像 协 议 栈 是 基于 网 际 层 下 面 的 局 域 网 驱 
动 程 序 一 样 。 这 种 看 法 有 一 定 的 价值 ， 但 网 络 访问 层 实际 上 是 TCP/IP 的 
一 部 分 ， 没 有 它 就 不 可 能 完整 地 讨论 网 络 通信 过 程 。 























第 2 章 讲 到 ，TCP/IP 是 独立 于 OSI 七 层 网 络 模 型 的 ， 但 OSI 模 型 经 常 
作为 一 种 通用 框架 来 理解 各 种 协议 系统 。 在 讨论 网 络 访问 层 时 ，OSI 术 
语 和 概念 是 通用 的 ， 因 为 OSI 模 型 对 网 络 访问 进一步 细 分 ， 因 而 更 好 地 
揭示 了 这 一 层 里 的 运行 情况 。 

如 图 3.1 所 示 ，TCP/P 网 络 访问 层 大 致 对 应 于 OSI 的 物理 层 和 数据 链 
路 层 。OSI 的 物理 层 负责 把 数据 帧 转化 为 适合 于 传输 介质 的 比特 流 ， 也 
就 是 说 ，OSI 物理 层 管理 和 同步 实际 传输 的 电子 或 模拟 脉冲 。 在 接收 
端 ， 物 理 层 把 这 些 脉冲 重新 组 合 为 数据 帧 。 
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TCP/IP OSI 
图 3.1 OSI 与 网 络 访问 层 


OSI 数据 链 路 层 执行 两 个 独立 的 任务 ， 相 应 地 划分 为 两 个 子 层 。 

> 介质 访问 控制 (MAC) : 这 个 子 层 提 供与 网 络 适 配器 连接 的 接 
口 。 实 际 上 ， 网 络 适配器 驱动 程序 通常 被 称 为 MAC 驱 动 ， 而 网 卡 在 工 
三 回 化 的 硬件 地 址 通常 被 称 为 MAC 地 址 。 

> 逻辑 链 路 控制 (LLC) : 这 个 子 层 对 经 过 子 网 传递 的 帧 进行 错 
误 检 查 ， 并 且 管 理子 网 上 通信 设备 之 间 的 链 路 。 

注意 : NDIS 和 ODI 

在 实际 的 网 络 协议 实现 中 ， 网 络 驱 动 程序 接口 规范 (NDIS〉 和 开 
放 数 据 链 路 接口 (ODI) 规范 的 存在 进一步 复杂 了 TCP/IP 层 与 OSI 系 统 
之 间 的 区 别 。NDIS (由 Microsoft 和 3Com 公 司 开 发 ) 和 ODI (由 Apple 和 
Novell 开 发 ) 的 设计 目的 在 于 让 单个 协议 栈 〈 比 如 TCP/IP) 使 用 多 个 网 
络 适配器 ， 并 让 单个 网 络 适 配器 使 用 多 个 上 层 协议 ， 这 样 可 以 让 上 层 协 
议 彻 底 独 立 于 网 络 访问 系统 ， 从 而 为 网 络 增加 了 很 强 的 功能 ， 但 同时 也 
也 让 系统 地 介绍 软件 组 件 在 底层 如 何 交 互 变 得 更 加 困 
难 。 


3.3 网 络 体系 


在 实践 中 ， 局 域 网 并 不 是 一 种 协议 层 的 术语 ， 而 是 代表 局 域 网 体系 
或 网 络 体系 (有 时 网 络 体系 也 被 称 为 局 域 网 类 型 或 局 域 网 拓扑 ) 。 网 络 
体系 (比如 以 太 网 ) 具有 一 系列 的 规范 来 管理 介质 访问 、 物 理 寻 址 、 计 
工人 与 传输 介质 的 交互。 在 决定 网 络 体系 时 ， 实 际 上 是 在 决定 如 何 设计 
网 络 访 问 层 。 












































网 络 体系 包含 对 物理 网 络 的 定义 ， 以 及 该 物理 网 络 上 定义 的 通信 规 
范 。 通 信 细 节 基 于 物理 细节 ， 所 以 这 些 规范 通常 以 一 个 完整 的 包 出 现 。 
这 些 规范 包含 以 下 几 个 方面 。 

> 访问 方法 : 访问 方法 是 定义 了 计算 机 如 何 共 享 传输 介质 的 一 组 
规则 。 为 了 避免 数据 冲突 ， 计 算 机 在 传输 数据 时 必须 遵守 这 些 规则 。 

数据 帧 格式 : 来 自 于 网 际 层 的 IP 级别 的 数据 报 以 预定 义 的 格式 
封装 为 数据 帧 ， 封 装 在 包头 中 的 数据 必须 提供 在 物理 网 络 上 传递 数据 所 
需要 的 信息 。 本 章 后 面 会 详细 讲解 数据 帧 。 

> 布线 类 型 : 网 络 所 使 用 的 线 缆 类 型 对 于 其 他 设计 参数 具有 一 定 
的 影响 ， 比 如 适配器 传递 的 比特 流 的 电子 特性 。 

布线 规则 : 协议 、 线 缆 类 型 和 传输 的 电子 特性 影响 着 线 缆 的 最 
大 和 最 小 长 度 、 电 缆 连 接 器 的 规范 。 

像 线 缆 类 型 和 连接 器 类 型 这 样 的 细节 问题 并 不 是 由 网 络 访问 层 直接 
负责 的 ， 但 为 了 设计 网 络 访问 层 的 软件 组 件 ， 开 发 人 员 必 须 假 定 物理 网 
人 
Tio 

最 重要 的 是 ， 网 络 访问 层 以 上 的 协议 层 不 必 关 心 硬件 设计 的 问题 。 
TCP/IP 协 议 栈 的 设计 保证 了 与 硬件 交互 相关 的 细节 都 发 生 在 网 络 访问 
层 ， 使 得 TCP/PP 能 够 工作 于 多 种 不 同 的 传输 介质 。 

网 络 访问 层 包 括 如 下 一 些 体系 。 

> IEEE 802.3( 以 太 网 ) : 在 大 多 数 办 公 室 和 家 许 使 用 的 基于 线 











绕 的 网 络 。 
> IEEE 802.11 (无 线 网 络 ) : 在 办 公 室 、 家 庭 和 咖啡 厅 使 用 的 无 
线 网 络 技术 。 


> IEEE 802.16 (WiMAX) : 用 于 移动 通信 长 距离 无 线 连接 的 技 


术 5 
> 点 到 点 协议 (PPP) : Modem 通 过 电话 线 进行 连接 的 技术 。 
TCP/IP 还 支持 其 他 一 些 网 络 体 系 。 在 图 3.2 中 可 以 看 到 ， 协 议 栈 的 
模块 化 特性 使 得 在 网 络 访问 层 里 与 硬件 打交道 的 软件 组 件 能 够 为 和 硬件 
无 关 操作 的 上 层 提 供 接口 。 


网 际 层 


网 络 
访问 层 以 太 网 





图 3.2 由 于 网 络 访问 层 封装 了 传输 介质 的 细 市 ， 因 此 协议 栈 的 上 层 可 以 
独立 于 硬件 进行 操作 


虽然 协议 层 之 间 错 综 复 杂 的 交互 在 很 大 程度 上 对 于 用 户 是 透明 的 ， 
但 通过 操作 系统 中 的 网 络 配 置 对 话 框 ， 还 是 经 常 可 以 查 觉 到 硬件 相关 层 
与 逻辑 寻 址 层 之 间 的 关系 。 例 如 ， 图 3.3 展 示 的 Mac OS X 配 置 对 话 框 可 
以 让 TCP/IP 配 置 与 多 个 不 同 的 体系 相关 联 ， 比 如 以 太 网 、 蓝 牙 、 
Modem 和 AirPort 无 线 网 络 (Apple 公 司 对 IEEE 802.11 无 线 网 络 规范 的 优 
ts 
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图 3.3 大 多 数 操作 系统 可 以 将 不 同 的 网 络 体 系 与 TCP/IP 配置 相关 联 
本 书后 面 的 章节 将 更 详细 地 介绍 Modem、 无 线 网 络 和 其 他 网 络 技 


下 面 的 小 节 将 细致 地 介绍 一 种 重要 的 、 普 裔 存在 的 网 络 体系 以 
太 网 ， 从 而 作为 网 络 应 用 层 故 障 诊断 和 解决 方法 的 一 个 范例 。 

为 了 查看 网 络 访问 中 内 发 生 的 问题 类 型 以 及 相应 的 解决 防范 ， 下 面 
一 节 将 详细 讨论 以 太 网 这 种 重要 而 且 无 处 不 在 的 网 络 。 大 多 数 情 况 下 ， 
与 家 用 计算 机 或 办 公用 计算 机 相连 接 的 是 以 太 网 线 绕 ， 网 络 中 的 计算 机 
使 用 以 太 网 的 某 些 形式 相互 通信 。 甚 至 是 将 笔记 本 电脑 、 智 能 手机 和 其 
他 无 线 设备 连接 到 家 庭 网 络 的 无 线 HUB， 最 终 也 是 连接 到 使 用 以 太 网 线 
缆 的 有 线 网 络 。 在 学 习 本 章 剩 余 的 内 容 时 ， 要 记 住 以 太 网 只 是 网 络 访问 
层 协议 系统 的 一 个 例子 。 在 后 续 章 节 学 习 其 他 人 硬件 技术 时 ， 比 如 拨号 、 
数字 用 户 线 (DSL) 、 无 线 和 广域网 (WAN) 方式 时 ， 要 记 住 每 一 种 
技术 都 有 其 独特 的 需求 ， 来 反映 网 络 访问 协议 和 驱动 程序 的 独特 性 设 
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3.4 物理 寻 二 


前 面 的 章节 讲 到 ， 网 络 访问 层 需要 把 逻辑 IP 地 址 (通过 协议 软件 来 
配置 ) 与 网 络 适配器 的 固定 物理 地 址 相关 联 。 物 理 地 址 通常 也 被 称 关 
MAC 地 址 ， 这 是 因为 在 OSI 模 型 中 ， 物 理 寻 址 是 由 介质 访问 控制 
(MAC) 子 层 负责 的 。 由 于 物理 寻 址 系统 是 封装 在 网 络 访问 层 中 的 ， 
所 以 地 址 可 以 根据 网 络 体系 规范 采用 不 同 的 形式 。 

在 以 太 网 中 ， 物 理 地 址 通常 是 由 工厂 固化 在 网 络 硬 件 中 的 ， 尽 管 有 
些 现代 的 网 络 是 配 体 提 供 了 可 编程 的 物理 地 址 。 几 年 之 前 ， 以 太 网 硬件 
一 般 以 网 络 适配器 的 形式 插 到 计算 机 扩展 槽 中 。 在 最 近 几 年 ， 厂 丙 开 始 
在 主板 上 和 集成 以 太 网 功能 。 但 无 论 是 在 何 种 情况 下 ， 硬 件 通 常 都 具有 预 
置 的 物理 地 址 。 

经 过 局 域 网 传递 的 数据 帧 必须 使 用 这 个 物理 地 址 来 标识 源 适 配器 和 
目的 适配器 ， 但 元 长 的 物理 地 址 〈 以 太 网 使 用 48 比 特地 址 ) 的 可 用 性 非 
常 差 。 但 是 ， 在 较 高 的 协议 层 对 物理 地 址 进行 编码 又 会 破坏 TCP/IP 模 
块 化 带 来 的 灵活 性 ， 因 为 后 者 要 求 上 层 协 议 与 物理 细节 无 关 。TCP/IP 使 
用 地 址 解析 协议 (ARP) 和 道 向 地 址 解析 协议 (RARP) 把 IP 地 址 关联 
到 网 络 适配器 的 物理 地 址 。ARP 和 RARP 为 用 户 提供 的 逻辑 IP 地 址 与 局 
域 网 上 使 用 的 硬件 地 址 建立 了 一 个 对 应 关系 。 第 4 章 将 详细 讲解 ARP 和 
RARP。 

在 学 习 下 面 的 内 容 时 要 记 住 ， 以 太 网 软件 使 用 的 地 址 并 不 是 逻辑 IP 
地 址 ， 但 这 个 地 址 在 网 际 层 的 接口 上 与 IP 地 址 有 了 映射 关系 。 


3.5 以 太 网 


以 太 网 无 疑 是 目前 使 用 最 广泛 的 局 域 网 技术 ， 这 主要 是 因为 它 具 有 
适当 的 价格 。 以 太 网 线 绕 比 较 便宜 ， 易 于 安装 ;以 太 网 网 络 适配器 和 硬 
件 组 件 相 对 来 说 也 很 便宜 。 如 果 你 以 往 查 看 过 计算 机 的 背面 ， 就 不 会 对 
典型 的 以 太 网 疝 口 和 线 绑 感到 陌生 。 无 线 网 络 的 不 断 发 展 并 没有 降低 以 
太 网 的 重要 性 。 一 种 重要 的 无 线 局 域 网 形式 被 称 为 “无 线 以 太 网 ”， 因 为 
它 使 用 了 很 多 标准 以 太 网 的 规范 。 

在 典型 的 以 太 网 上 ， 全 部 计算 机 共享 同一 个 传输 介质 。 以 太 网 使 用 
称 为 载波 侦 听 多 路 访问 /冲突 检测 (CSMA/CD) 的 方法 ， 来 判断 计算 机 
何 时 可 以 把 数据 发 送 到 访问 介质 。 通 过 使 用 CSMA/CD， 所 有 计算 机 都 
监视 传输 介质 的 状态 ， 在 传输 之 前 等 待 线路 空 亲 。 如 果 两 台 计 算 机 演 试 
同时 发 送 数据 ， 就 会 发 生 冲 突 ， 计 算 机 就 会 停止 发 送 ， 等 待 一 个 随机 的 
时 间 间 隔 ， 然 后 再 次 尝试 发 送 。 

CSMA/CD 可 以 比喻 为 一 个 有 很 多 人 的 房间 。 如 果 有 人 想 讲 话 ， 首 
先 要 确认 目前 是 否 有 人 在 讲话 〈 这 就 是 载波 侦 听 ) 。 如 果 两 个 人 同时 开 























台 讲话 ， 他 们 都 会 发 现 这 个 问题 ， 从 而 停止 讲话 ， 等 待 一 段 时 间 再 开始 
讲话 〈 这 就 是 冲突 检测 ) 。 

传统 以 太 网 在 中 低 负载 情况 下 运行 良好 ， 但 在 大 负载 情况 下 会 由 于 
冲突 的 增多 而 影响 性 能 。 在 现代 以 太 网 中 ， 像 网 络 交 换 机 这 样 的 设备 会 
对 流量 进行 管理 ， 减 少 冲 突 的 发 生 ， 从 而 让 以 太 网 的 运行 更 具 效 率 。 第 
9 章 将 详细 讲解 HUB 和 交换 机 。 

以 太 网 能 够 使 用 多 种 介质 。 传 统 的 基于 HUB 的 10BASE-T 以 太 网 
最 初 的 基带 速率 是 10Mbits， 而 现在 速度 为 100Mbits 的 “快速 以 太 网 ”已 
经 相当 普及 了 ， 而 1Gbits〈 吉 比特 ) 以 太 网 也 大 量 使 用 了 。 早 期 以 太 网 
经 党 使 用 连续 的 同 轴 电 缆 作 为 传输 介质 〈 见 图 3.4) ， 但 目前 大 多 数 以 
太 网 的 形式 都 是 把 计算 机 连接 到 一 个 网 络 设备 上 《上 见 图 3.5) 。 











所 有 的 计算 机 通过 一 条 同 轴 电 线 连 接 


接 入 Internet 





图 3.5 在 现代 以 太 网 中 ， ee 《比如 


交换 机 ) 
3.6 剖析 以 太 网 帧 


网 络 访问 层 的 软件 从 网 际 层 接收 数据 报 ， 把 它 转 化 符合 物理 网 络 规 
范 的 形式 〈 见 图 3.6) 。 在 以 太 网 中 ， 网 络 访问 层 的 软件 必须 把 数据 转 


化 成 能 够 通过 网 络 适 配 右 便 件 进行 传输 的 形式 。 


网 际 层 
的 数据 


网 络 
访问 层 


图 3.6 网 络 访问 将 数据 格式 化 为 物理 网 络 需 要 的 形式 


当 以 太 网 软件 从 网 际 层 接 收 到 数据 报 之 后 ， 执 行 以 下 操作 。 

1. 根据 需要 把 网 际 层 的 数据 分 解 为 较 小 的 块 ， 以 符合 以 太 网 帧 数 
据 段 的 要 求 。 以 太 网 帧 的 整体 大 小 必须 在 64 字 节 与 1518 字 节 之 间 (不 包 
含 前 导 码 ) 。 有 些 系统 支持 更 大 的 帧 ， 最 大 可 以 到 9000 字 节 。 这 种 大 型 
帧 能 够 改善 效率 ， 但 存在 着 兼容 性 的 问题 ， 而 且 并 没有 得 到 广泛 支持 。 

2. 把 数据 块 打包 成 帧 。 每 一 帧 都 包含 数据 及 其 他 信息 ， 这 些 信息 
是 以 太 网 网 络 适 配器 处 理 帧 所 需要 的 。IEEE 802.3 以 太 网 帧 包含 以 下 内 


会 当 

> 前 导 码 : 表示 帧 起 始 的 一 系列 比特 (一 共 8 字 节 ， 最 后 一 个 字 节 
是 帧 起 始 符 〉。 

> 日 标 地 址 : 接收 帧 的 网 络 适配器 的 6 字 节 (48 比特 ) 物理 地 址 。 

> 源 地 址 ， 发送 帧 的 网 络 适配器 的 6 字 节 (48 比特) 物理 地 址 。 

> 可 选 的 VLAN 标 记 : 这 个 可 选 的 16 比 特 字 段 在 802.1q 标 准 中 有 讲 
， 其 目的 是 允许 多 个 虚拟 LAN 通 过 同一 个 网 络 交换 机 运行 。 

> 长 度 : 两 个 字 节 ， 表 示 数 据 段 的 长 度 。 

> 数据 : 帧 中 传输 的 数据 。 

> 帧 校 验 序列 FCS)〉: 帧 的 4 字 节 “(32 比特 〉 校 验 和 。FCS 是 检 
验 数 据 传输 的 常见 方式 。 发 送 方 计算 帧 的 循环 见 余 码 校 验 (CRC) 值 ， 
把 这 个 值 写 到 帧 里 。 接 收 方 计算 机 重新 计算 CRC， 与 FCS 字段 的 值 进 
行 比 较 ， 如 果 两 个 值 不 相同 ， 就 表示 传输 过 程 中 发 生 了 数据 丢失 或 改 
变 ， 这 时 就 需要 重新 传输 这 一 帧 。 

3. 把 数据 帧 传递 给 对 应 于 OSI 模型 物理 层 的 底层 组 件 ， 后 者 把 帧 
转换 为 比特 流 ， 并 且 通 过 传输 介质 发 送出 去 。 
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以 太 网 上 其 他 网 络 适 配器 接收 到 这 个 帧 ， 检 查 其 中 的 目的 地 址 。 如 
末 目 的 地 址 与 网 络 适 配器 的 地 址 相 匹配 ， 运 配 喜 软 件 就 会 处 理 接收 到 的 
帧 ， 把 数据 传递 给 协议 栈 中 较 电 的 层 。 


37 小 纤 


本 章 介 绍 了 网 络 访问 层 ， 这 是 TCP/IP 协议 栈 中 变化 最 多 、 最 复杂 
的 一 层 。 网 络 访问 层 定义 了 与 网 络 人 硬件 通信 和 访问 传输 介质 的 过 程 。 局 
域 网 体系 有 很 多 种 ， 导 致 了 网 络 访问 层 有 很 多 不 同 的 规范 。 本 章 以 以 太 
网 为 例 ， 详 细 地 介绍 了 网 络 访问 层 处 理 数 据 传 输 的 方式 。 

以 太 网 技术 的 应 用 广泛 ， 但 连接 计算 机 的 技术 还 有 很 多 。 任 何 连 网 
技术 都 需要 以 某 种 方式 使 用 物理 网 络 ， 因 此 ， 任 何 TCP/IP 技 术 必 须 具 有 
一 个 网 络 访问 层 。 后 面 的 章节 会 介绍 其 他 一 些 物理 网 络 ， 比 如 Modem、 
无 线 局 域 网 、 移 动 网 络 和 广域网 技术 。 


3.8 问 与 答 


问 : 网 络 访问 层 定义 了 什么 类 型 的 服务 ? 

答 : 网 络 访问 层 包 含 了 管理 物理 网 络 访问 过 程 的 服务 和 规范 。 

问 : OSI 模 型 中 的 哪 一 层 对 应 于 TCP/IP 网 络 访 问 层 ? 

答 : 网 络 访问 层 大 致 对 应 于 OSI 模型 里 的 数据 链 路 层 和 物理 层 。 
问 : 最 常用 的 局 域 网 体系 是 什么 ? 

答 : 虽然 无 线 局 域 网 技术 越 来 越 流 行 ， 但 最 常用 的 局 域 网 体系 仍然 


问 : 什么 是 CSMA/CD? 

答 : CSMA/CD 是 “载波 侦 昕 多 路 访问 /冲突 检测 ”的 更 文 缩写 ， 是 以 
太 网 使 用 的 访问 方法 。 在 使 用 这 种 方法 时 ， 网 络 上 的 计算 机 在 传输 数据 
之 前 先 等 待 一 下 ， 如 果 两 台 计 算 机 尝试 同时 发 送 数 据 ， 它 们 都 会 停止 发 
送 ， 等 待 一 个 随机 的 时 间 间 隔 ， 再 尝试 发 送 。 


3.9 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问 题 旧 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 则 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完 成 这 些 问题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 

3.9.1 问题 























什么 是 CRC? 

.在 以 太 网 中 ， 什 么 是 冲突 检测 ? 

. 以太 网 物理 地 址 多 大 ? 

. NDIS 和 ODI 的 用 途 是 什么 ? 

. ARP 具 有 什么 功能 ? 

3.9.2 练习 

1. 列举 将 物理 地 址 与 1P 地 址 关联 起 来 的 两 种 协议 。 

2. 列举 至 少 4 种 网 络 体系 。 

3. 解释 OSI 介质 访问 控制 子 屋 和 逻辑 链 路 控制 子 层 所 执行 的 功能 。 


3.10 关键 术语 


复习 下 列 关 键 术 语 : 

> 访问 方法 : 控制 对 传输 介质 访问 的 过 程 。 

> CRC《〈 循 环 元 余 码 校 验 ) : 一 种 计算 检验 和 的 方式 ， 用 于 检验 
数据 帧 中 内 容 的 正确 性 。 

> CSMA/CD: 以 太 网 使 用 的 网 络 访问 方法 。 

> 数据 链 路 层 : OSI 模 型 的 第 2 层 。 

0 

J 

> 帧 校 验 序列 (FCS) : 以 太 网 帧 中 的 字段 ， 包 含 一 个 基于 CRC 
的 校 验 值 ， 用 来 检验 数据 。 

> 逻辑 链 路 控制 子 层 : OSI 数据 链 路 层 的 一 个 子 层 ， 负 责 检 验 错 
误 和 管理 子 网 设备 之 间 的 链 路 。 

> 介质 访问 控制 子 层 : OSI 数据 链 路 层 的 一 个 子 层 ， 负 责 与 网 络 
适配器 通信 。 

> 网 络 体系 : 关于 物理 网 络 的 完整 规范 ， 包 括 访问 方法 、 数 据 
帧 、 网 络 布线 的 规范 。 

> 物理 地 址 (或 MAC 地 址 ) : 识别 网 路 网 络 中 网 络 适配器 的 地 
址 。 在 以 太 网 中 ， 物 理 地 址 通常 由 生产 厂商 分 配 ， 但 是 现代 的 一 些 网 络 
适配器 也 人 允许 对 物理 地 址 进行 配置 。 

> 物理 层 : OSI 模型 第 1 层 ， 负 责 把 数据 帧 转化 为 比特 流 以 适合 传 
输 介 质 的 要 求 。 

> 前 导 人 码 : 一 系列 比特 ， 表 示 数 据 帧 传输 的 开始 。 
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本 章 介 绍 如 下 内 容 : 

> IP 地 址 ; 

> JP 报头; 

> ARP; 

> ICMP 。 

上 一 章 讲 到 ， 在 一 个 网 段 〈 比 如 一 个 以 太 局 域 网 ) 上 的 计算 机 之 间 
能 够 使 用 网 络 访问 层 提供 的 物理 地 址 进行 通信 。 那 么 ， 从 卡 罗 莱 纳 到 加 
利 福 尼 亚 的 电子 邮件 如 何 准 确 到 达 目 的 地 呢 ? 本 章 就 会 介绍 ， 网 际 层 提 
ee 
HICMP。 

本 章 以 Pnternet 当 前 使 用 的 32 位 二 进 制 IPv4 地 址 为 主 。 当 今世 界 正 在 
问 128 位 的 新 型 编 址 系统 进行 转换 ， 这 也 就 是 所 称 的 IPV6， 它 提供 了 增 
强 的 功能 和 更 大 的 地 址 空间 。 第 13 章 将 详细 讲解 IPv6。 

学 完 本 章 后 ， 你 可 以 : 

> 知道 IP、ARP 和 ICMP 的 用 途 ; 

> 知道 什么 是 网 络 ID 和 主机 ID; 

> 知道 什么 是 八 位 组 ; 

> 把 点 分 十 进 制 地 址 转换 为 相等 的 二 进 制 形式 ; 

> 把 32 位 的 三 进 制 P 地 址 转化 为 点 分 十 进 制 形 式 ; 

> 掌握 了 P 报 头 的 内 容 ; 

> 知道 IP 地 址 的 用 途 。 


4.1 寻 址 与 发 送 


在 第 3 章 讲 到 ， 计 算 机 通过 网 络 接口 设备 《比如 网 络 适 配 右 ) 与 网 
络 进行 通信 ， 网 络 接口 设备 具有 唯一 的 物理 地 址 ， 用 于 接收 发 辐 该 地 址 
的 数据 。 像 以 太 网 网 卡 这 样 的 设备 对 于 上 层 协 议 层 的 细 市 是 一 点 也 不 了 
解 的 ， 它 不 知道 IP 地 址 ， 也 不 知道 发 送 来 的 帧 是 要 给 Telnet 还 是 FTP， 
它 只 是 监听 是 人 否 收 到 了 数据 帧 ， 发 现 其 中 目标 地 址 与 目 己 物理 地 址 相符 
的 帧 ， 并 把 这 个 帧 传递 给 上 层 协 议 栈 。 

这 种 物理 寻 址 方式 适合 单个 局 域 网 网 段 。 由 不 间断 介质 连接 在 一 起 
的 知 干 台 计 算 机 利用 物理 地 址 就 可 以 实现 所 需 的 功能 。 只 需 使 用 网 络 访 
问 层 的 低级 协议 就 可 以 把 数据 从 网 络 适 配器 直接 传递 另 一 个 网 络 适 配 
多 


”但 是 ， 在 路 由 式 网 络 中 ， 不 能 利用 物理 地 址 实现 数据 传输 ， 因 为 根 


据 物 理 地 址 进行 传输 所 需 的 过 程 不 能 跨越 路 由 接口 来 运行 。 即 使 这 样 是 
可 行 的， 根据 物 理 地 址 传输 数据 也 是 非常 麻烦 的 ， 因 为 内 置 在 网 卡 里 的 
固定 物理 地 址 不 能 在 地 址 空间 上 引入 逻辑 结构 。 

因此 ，TCP/IP 隐 藏 了 物理 地 址 ， 以 一 种 逻辑 化 、 层 次 化 的 寻 址 方案 
对 网 络 进行 组 织 。 这 种 逻辑 寻 址 方案 由 网 际 层 的 耳 协 议 维护 ， 而 逻辑 地 
址 被 称 为 IP 地 址 。 地 址 解析 协议 (ARP) 是 另 一 种 网 际 层 协议 ， 它 维护 
一 个 表格 ， 用 于 把 IP 地 址 映射 到 物理 地 址 。 这 个 ARP 表 连接 了 IP 地 址 与 
网 卡 物 理 地 址 。 

在 一 个 路 由 式 网 络 中 ( 见 图 4.1) ，TCP/IP 软 件 使 用 如 下 策略 在 网 
络 上 发 送 数据 。 
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网 关 : 
(每 一 个 网 络 
接口 的 IP 地址 ) 


图 4.1 网 关 接 收 去 往 其 他 网 络 的 数据 报 


1. 如 果 目 的 地 址 与 源 地 址 在 同一 个 网 段 ， 源 计算 机 残 把 数据 包 直 
接 发 送 给 目的 计算 机 。IP 地 址 被 ARP 解 析 为 物理 地 址 ， 数 据 被 直接 发 送 
到 目的 网 络 适 配器 。 

2. 如 果 目 的 地 址 与 源 地 址 不 在 一 个 网 段 上 ， 就 执行 如 下 过 程 。 

a) 直接 将 数据 报 友 送 到 网 天 。 网 关 是 位 于 局 域 网 网 段 上 的 一 个 设 
备 ， 能 够 把 数据 报 转发 到 其 他 网 段 〈 在 第 1 章 讲 到 ， 网 关 基 本 上 也 算是 
一 个 路 由 咒 ) 。 网 关 地 址 梓 ARP 解 析 为 物理 地 址 ， 数 据 被 发 送 到 网 关 的 
网 络 适 配 右 。 

b) 数据 报 通 过 网 关 被 路 由 到 较 高 级 别 的 网 段 〈 见 图 4.1) ， 再 次 重 
复 上 述 过 程 。 如 果 目 的 地 址 在 这 个 新 网 段 里 ， 数 据 就 被 发 送 到 目的 ， 人 否 
则 数据 报 就 会 被 发 送 到 男 一 个 网 关 。 








c) 数据 报 经 过 一 系列 网 关 被 转发 到 目的 网 段 ， 目 的 IP 地 址 被 ARP 
解析 为 物理 地 址 ， 数 据 被 发 送 到 目的 网 络 适 配器 。 
_ 为 了 在 复杂 的 路 由 式 网 络 中 传输 数据 ， 网 际 层 协议 必须 具有 以 下 功 
能 : 

> 识别 网 络 中 所 有 的 计算 机 ; 

> 提供 一 种 方式 来 判断 何 时 需要 通过 网 关 来 传递 消息 ，; 

> 提供 一 种 与 硬件 无 关 的 方式 来 识别 目的 网 段 ， 从 而 让 数据 报 能 
够 高 效率 地 经 过 路 由 器 到 达 正 确 的 网 段 ; 

> 提供 一 种 方式 把 目标 计算 机 的 逻辑 IP 地 址 转化 为 物理 地 址 ， 让 
数据 能 够 传输 给 日 的 计算 机 的 网 络 适配器 。 

虽然 从 理论 上 来 说 ， 整 个 世界 正在 转 辣 新 版 本 的 IPv6， 但 IP 最 常见 
的 版 本 仍然 是 IPv4。 本 章 会 介绍 IPv4 的 寻 址 系统 ， 介 绍 TCP/IP 如 何 使 用 
网 际 层 的 人 P 和 ARP 在 复杂 网 络 上 传输 数据 报 ， 还 会 讨论 网 际 层 的 ICMP 
协议 如 何 提 供 错误 检测 和 排 错 功 能 。IPv6 最 终 肯 定 会 成 为 Internet 通 信 的 
标准 ， 有 关 IPv6 寻 址 系统 的 讨论 ， 请 见 第 13 章 。 

注意 : 网 际 层 和 OSI 

网 际 层 对 应 于 OSI 模型 的 网 络 屋 ， 也 就 是 所 谓 的 第 3 层 。 


4.2 网 际 协议 _(IP) 


IP 协 议 提供 了 一 种 分 层 的 、 与 硬件 无 关 的 寻 址 系统 ， 具 有 在 复杂 的 
路 由 式 网 络 中 传递 数据 所 需 的 服务 。TCP/IP 网 络 上 的 每 个 网 络 适配器 都 
有 一 个 唯一 的 JP 地 址 。 

注意 : 主机 

在 讨论 TCP/P 时 ， 我 们 经 常会 说 计算 机 有 一 个 下地 址 ， 这 是 因为 大 
多 数 计 算 机 只 有 一 个 网 卡 。 然 而 ， 具 有 多 个 网 卡 的 计算 机 也 很 常见 ， 比 
如 作为 路 由 器 或 代理 服务 器 的 计算 机 必须 有 多 个 网 卡 ， 因 此 也 就 有 多 个 
IP 地 址 。 术 语 “ 主 机 ”通常 用 于 表示 与 某 个 IP 地 址 相关 联 的 网 络 设备 。 

在 某 些 操作 系统 上 ， 可 以 给 一 个 网 络 适配器 指定 多 个 IP 地 址 。 

网 络 上 的 IP 地 址 是 有 一 定 规则 的 ， 因 此 我 们 可 以 通过 查看 IP 地 址 来 
了 解 主机 的 位 置 ， 也 就 它 所 在 的 网 络 或 子 网 〈 见 图 4.2) 。 换 句 话 说， 卫 
地 址 中 一 部 分 有 点 像 邮政 编码 (表明 大 致 区 域 ， 而 另 一 部 分 有 点 像 街 
道 地 址 (表明 大 致 区 域内 的 准确 位 置 )。 

从 图 4.2 似 乎 可 以 很 容易 地 看 出 “所 有 以 192.132.134 开 头 的 地 址 都 在 
建筑 C 里 ?”， 但 计算 机 需要 更 明确 的 规则 。 卫 地 址 分 为 两 个 部 分 : 

> 网 络 ID 

> 主机 ID。 


网 络 必须 提供 一 种 方式 来 判断 IP 地 址 的 哪 一 部 分 是 网 络 D， 哪 一 部 
分 是 主机 ID 。 不 幸 的 是 ， 真 实 世 界 中 网 络 的 多 样 性 和 复杂 性 使 得 我 们 无 
法 使 用 一 个 简单 、 通 用 的 方法 解决 这 个 问题 。 大 型 网 络 具 有 大 量 主机 ， 
因此 需要 使 用 更 多 的 主机 位 数 作为 主要 标识 。 而 小 型 网 络 不 需要 很 多 位 
数 就 可 以 上 每 台 主 机 具有 不 同 的 ID， 但 网 络 数量 的 众多 要 求 有 更 多 的 位 
数 用 于 网 络 ID。 

在 本 章 后 面 将 会 讲 到 ， 该 问题 最 初 的 解决 方案 是 把 卫 地 址 划分 为 一 
系列 地 址 类 。A 类 地 址 使 用 地 址 前 8 位 作为 网 络 ID，B 类 地 址 使 用 前 16 
位 ，C 类 地 址 使 用 前 24 位 。 后 来 这 个 方案 增加 了 一 个 名 为 “ 子 网 划分 ”的 
特性 ， 用 于 在 本 地 范围 对 网 络 结构 实现 更 好 的 控制 。 

最 近 新 出 现 的 无 类 别 域 间 路 由 选择 (CIDR) 技术 让 上 述 地 址 分 类 
系统 基本 上 变 得 毫 无 意义 ， 它 目前 在 Intermnet 上 非常 流行 ， 为 IP 地 址 提供 
了 一 种 简单 、 灵 活 和 明确 的 标识 。 
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图 4.2 通过 查看 地 址 可 以 了 解 网 络 


如 果 想 了 解 TCP/IP 网 络 ， 掌 握 基 于 分 类 的 寻 址 系统 和 CIDR 寻 址 都 
是 很 重要 的 。 第 15 章 将 会 详细 讲解 这 些 技术 。 现 在 只 需 记 住 这 些 标 识 方 
案 的 目标 是 一 致 的 ; 把 耳 地 址 区 分 为 网 络 ID 与 主机 ID。 

注意 : 子 网 划分 

本 章 要 与 第 5 章 一 起 学 习 。 不 了 解 子 网 ID 和 CIDR， 就 不 能 真正 掌握 
让 寻 址 的 巧妙 所 在 。 第 13 章 讲 到 的 IPv6 知 识 对 于 完整 地 掌握 Intemet 寻 址 
也 是 很 重要 的 。 尽 管 开放 的 Internet 正 在 向 全 面 文 持 IPv6 转 型 ，NATI 的 广 
泛 使 用 《〈 以 及 充分 使 用 IPv6 增 强 特性 的 应 用 程序 并 不 多 见 ) 意味 着 IPv4 
在 可 以 见 到 的 未 来 仍然 会 有 一 席 之 地 。 本 书 第 13 章 将 讲解 IPv4 地 址 与 
IPv6 地 址 之 间 的 映射 。 











4.2.1IP 报 头 字段 


每 个 耻 数 据 报 都 以 一 个 IP 报 头 开 始 。 源 计算 机 的 TCP/P 软 件 构造 这 
个 IP 报 头 ， 目 的 计算 机 的 TCP/P 软 件 利用 下 报头 中 封装 的 信息 处 理 数 
据 。IP 报 头 包 含 大 量 信 息 ， 包 括 源 IP 地 址 、 目 的 IP 地 址 、 数 据 报 长 度 、 
IP 版 本 号 和 对 路 由 右 的 特殊 指令 

注意 : 报头 的 更 多 细节 

有 关 IP 报 头 的 更 多 细节 ， 请 参见 RFC 791。 

IP 报 头 的 最 小 长 度 是 20 字 节 ， 几 4.3 所 示 为 IP 报 头 的 内 容 。 

图 4.3 中 的 报头 字段 如 下 所 示 。 

> 版 本 : 这 个 4 位 的 字段 表示 所 使 用 的 IP 版 本 。 目 前 IP 版 本 是 4， 
相应 的 二 进 制 是 0100。 

> 网 际 报头 长 度 CIHL) : 这 个 4 位 字段 表示 IP 报 头 以 32 位 字 为 单 
位 的 长 度 。 了 报头 的 最 小 长 度 是 5 个 32 比 特 字 ， 相 应 的 二 进 制 表示 是 
0101。 











比特 位 置 : 0 4 8 16 24 31 


目的 IP 地 址 





图 4.3 了 报头 字段 


> 服务 类 型 源 了 能 够 指定 特殊 的 路 由 信息 。 有 些 路 由 器 会 忽略 
这 个 字段 的 信息 ， 但 随 着 服务 质量 〈QoS ) 技术 的 出 现 ， 这 个 字段 得 到 
了 更 多 的 重视 。 这 个 8 位 字段 的 主要 用 途 是 对 等 竺 通过 路 由 器 的 数据 报 
区 分 优先 级 ， 而 目前 大 多 数 耳 实现 把 是 这 个 字段 全 填 为 0。 

> 总 长 度 : 这 个 16 位 的 字段 表示 了 P 数 据 报 的 长 度 ， 单 位 是 字 节 ， 





这 个 长 度 包 含 了 IP 报 头 和 数据 载荷 。 

> 标识 : 这 个 16 位 的 字段 是 一 个 依 序 变 大 的 数值 ， 分 配给 源 IP 发 
出 的 消息 。 当 传递 到 IP 层 的 消息 太 大 而 不 能 放 到 一 个 数据 报 里 时 ，IP 
会 把 消息 拆 分 到 多 个 数据 报 ， 并 对 这 些 数 据 报 排序 分 配 相 同 的 标识 号 。 
接收 端 利 用 这 些 数值 重组 为 原始 消息 。 

标记 : 这 个 字段 表示 分 段 可 能 性 。 第 1 位 未 使 用 ， 其 值 应 该 为 
0。 第 2 位 称 为 DF (不 分 段 ，， 表 示 是 否 允 许 分 段 ，0 表 示人 允许 ，1 表 示 
不 允许 。 第 3 位 是 MF (更 多 分 段 ，， 表 示 是 否 还 有 分 段 正在 传输 ， 设 置 
为 0 时 表示 没有 更 多 分 段 需要 发 送 ， 或 是 数据 报 根 本 没有 分 段 。 

分 段位 移 : 这 个 13 位 的 字段 是 一 个 数值 ， 被 赋予 每 个 连续 的 分 
段 。 目 的 设备 的 IP 利 用 这 个 值 以 正确 的 次 序 重 组 分 段 。 这 个 数值 使 用 的 
单位 是 8 字 节 。 

> 生存 时 间 (TTL)〉: 这 个 字段 表示 数据 报 在 被 抛弃 之 前 能 够 保 
留 的 时 间 (以 秒 为 单位 〉 或 路 由 器 跳 数 。 每 个 路 由 器 都 会 检查 这 个 字 
段 ， 并 且 至 少 把 它 减 去 1， 或 数据 报 在 路 由 器 中 延迟 的 秒 数 。 当 这 个 字 
段 的 值 为 0 时 ， 数 据 报 会 被 抛弃 。 

> 跳 数 代表 数据 报到 达 目 的 之 前 必须 经 过 的 路 由 器 的 数量 。 如 果 
数据 报 在 到 达 目 的 之 前 经 过 了 5 个 路 由 器 ， 我 们 就 说 距离 目的 有 5 中 。 

> 协议 : 这 个 8 位 的 字段 表示 接收 数据 载荷 的 协议 ， 比 如 协议 标 
识 为 6〈 二 进 制 为 00000110) 的 数据 报 会 被 传递 到 TCP 模 块 。 下 面 是 一 
些 常 见 的 协议 标识 值 。 

























协议 名 称 
ICMP 


协议 标识 








TCP 





UDP 


> 报头 校 验 和 : 这 个 字段 包含 16 位 的 校 验 和 ， 只 用 于 检验 报头 本 
身 的 有 效 性 。 数 据 报 经 过 的 每 个 路 由 器 都 会 对 这 个 值 进行 重新 计算 ， 因 
为 TIL 字 段 的 值 是 在 不 断 变 化 的 。 

> 源 IP 地 址 : 这 个 32 位 的 字段 包含 了 数据 报 的 源 IP 地 址 。 

> 目的 下地 址 : 这 个 32 位 的 字段 包含 了 数据 报 的 目的 耳 地 址 。 目 
的 IP 根 据 这 个 值 检验 发 送 的 正确 性 。 

> IP 选 项 : 这 个 字段 支持 一 些 可 选 的 报头 设置 ， 主 要 用 于 测试 、 
调试 和 安全 的 目的 。 这 些 选项 包括 严格 源 路 由 数据 报 必须 经 过 指定 的 
路 由 ) 、 网 际 时 间 惟 《经 过 每 个 路 由 器 时 的 时 间 惟 记录) 和 安全 限制 。 








> 填充 : 耳 选 项 字段 的 长 度 不 是 固定 的 。 填 充 字 段 可 以 提供 一 些 
额外 的 0， 从 而 保证 整个 报头 的 长 度 是 32 位 的 整 倍数 〈 报 头 长 度 必 须 是 
32 位 字 的 整 倍 数 ， 因 为 “网 际 头 长 度 (IHL) ”字段 以 32 位 字 为 单位 表示 
报头 的 长 度 ) 。 

> JP 数据 载荷 : 这 个 字段 一 般 用 于 保存 传递 给 TCP 或 UDP 在 传 
输 层 中 ) 、ICMP 或 IGMP 的 数据 。 数 据 块 的 长 度 个 定 ， 可 以 包含 数 干 学 
Es 

4.2.2 IP 寻 址 


了 P 地 址 是 一 个 32 位 的 地 址 ， 被 分 为 4 个 8 位 段 〈 八 位 组 ) 。 人 们 不 习 
惯 使 用 32 位 的 二 进 制 地 址 或 8 位 的 二 进 制 八 位 组 ， 所 以 IP 地 址 最 常用 的 
表达 形式 是 “点 分 十 进 制 形式 ”。 在 这 种 形式 里 ， 每 个 八 位 组 都 以 相应 的 
十 进 制 数值 表示 ，4 个 十 进 制 数值 以 句点 分 隔 。8 位 二 进 制 可 以 表示 0 一 
255 之 间 的 数值 ， 所 以 这 种 形式 中 每 个 十 进 制 的 数值 都 位 于 0 一 255 之 
间 。 点 分 十 进 制 卫 地 址 是 这 个 样子 的 : 209.121.131.14。 

IP 地 址 中 的 一 部 分 是 网 络 ID， 男 一 部 分 是 主机 ID。 本 章 前 面 讲 到 ， 
划分 网 络 ID 和 主机 ID 的 最 初 方案 是 使 用 地 址 分 类 。 虽 然 最 近 出 现 的 
CIDR 无 类 别 寻 址 降低 了 地 址 分 类 的 重要 性 ， 但 作为 理解 TCP/ 耻 寻 址 的 
一 个 出 发 点 ， 地 址 分 类 还 是 值得 在 此 进行 讨论 的 。 

地 址 分 类 系统 把 IP 地 址 划分 到 不 同 的 地 址 类 。 绝 大 多 数 IP 地 址 属于 
以 下 儿 关 。 

> A 类 地 址 :IP 地 址 的 前 8 位 表示 网 络 ID， 后 24 位 表示 主机 ID。 

> B 类 地 址 : IP 地 址 的 前 16 位 表示 网 络 ID， 后 16 位 表示 主机 ID。 

> C 类 地 址 : 下地 址 的 前 24 位 表示 网 络 ID， 后 8 位 表示 主机 ID。 

使 用 的 位 数 越 多 ， 包 含 的 组 合 就 越 多 。 显 而 易 见 ，A 类 地 址 提供 了 
较 少 的 网 络 ID， 但 每 个 网 络 都 具有 大 量 可 用 的 主机 ID。 一 个 A 类 网 络 大 
约 可 以 包含 224， 也 就 是 16777216 台 主机 。 与 之 相对 的 是 ，C 类 地 址 只 能 
包含 较 少 的 主机 〈254 台 ， 也 就 是 28， 或 256 减 去 不 可 用 的 全 0 地 址 和 全 1 
地 址 ) ， 但 网 络 ID 的 组 合 就 非常 多 了 。 

那么 ， 计 算 机 或 路 由 器 如 何 判 断 一 个 下 地 址 是 A 类 、B 类 还 是 C 类 
呢 ?TCP/IP 地 址 的 规则 使 得 地 址 本 号 就 可 以 说 明 其 类 别 ， 二 进 制 地 址 的 
前 几 个 位 说 明了 地 址 属于 哪 一 类 《〈 见 表 4.1) ， 规 则 如 下 : 

> 如 果 32 位 的 地 址 以 0 开头 ， 它 就 是 A 类 地 址 ; 

> 如 果 32 位 的 地 址 以 10 开 头 ， 它 就 是 B 类 地 址 ; 

> 如 果 32 位 的 地 址 以 110 开 头 ， 它 就 是 C 类 地 址 。 

这 种 规则 很 容易 转化 为 点 分 十 进 制 形式 ， 因 为 它们 有 效 地 限制 了 地 
址 中 第 一 个 值 的 范围 。 例 如 ， 由 于 A 类 地 址 中 第 一 个 值 的 最 高 位 必须 是 























0， 所 以 在 点 分 十 进 制 的 形式 中 ， 第 一 个 值 不 能 大 于 127。 稍 后 我 们 会 更 
详细 地 介绍 如 何 把 二 进 制 数值 转化 为 十 进 制 。 表 4.1 展 示 了 A 类 、B 类 和 
C 类 网 络 的 地 址 范围 。 注 意 ， 有 一 些 地 址 范围 被 排除 在 外 ， 它 们 都 是 为 
特殊 应 用 所 保留 的 。 这 些 特殊 的 IP 地 址 将 在 本 间 后 面 讲解 。 


表 4.1 A 类 、B 类 和 C 类 网 络 的 地 址 范围 








二 进 制 地 址 前 几 位 值 点 分 十 进 制 地 址 中 第 一 个 字段 值 排除 地 址 
0 0 一 127 10.0.0.0 一 10.255.255.255 


127.0.0.0~127.255.255.255 








10 128 一 191 172.16.0.0 一 172331.233.255 











110 192 一 223 192.168.0.0~—192.169.255.255 





注意 : D 类 和 E 类 地 址 

Internet 规 范 还 定义 了 特殊 用 途 的 D 类 和 了 E 类 地 址 。D 类 地 址 用 于 多 
播 。 多 播 是 把 一 个 消息 发 送 到 网 络 的 子 网 ， 这 与 广播 是 不 同 的 ， 后 者 需 
要 网 络 上 全 部 节点 都 进行 处 理 。D 类 地 址 最 前 面 的 4 位 是 1110， 对 应 
于 十 进 制 数值 是 224 一 239。E 类 网 络 是 实验 性 质 的 ， 一 般 不 用 于 生产 环 
境 。E 类 网 络 地 址 最 前 面 的 5 位 是 11110， 对 应 于 十 进 制 数值 是 240 一 
247。 

网 络 管理 员 可 以 把 网 络 划 分 为 更 小 的 次 级 网 络 ， 这 被 称 为 子 网 。 划 
分 子 网 的 实质 束 是 借用 主机 ID 中 的 一 些 位 ， 在 网 络 内 创建 额外 的 网 
络 。 根 据 前 面 的 分 类 介绍 ， 我 们 很 容易 会 想到 具有 大 量 主 机 ID 的 A 类 和 
B 类 地 址 会 广泛 使 用 子 网 划分 技术 。 当 然 ，C 类 网 络 也 会 使 用 子 网 划分 
技术 。 第 5 章 将 详细 讲解 子 网 划分 。 

注意 : 地 址 是 否 唯一 

从 理论 上 讲 ，Internet 上 每 台 计 算 机 都 必须 有 一 个 唯一 的 IP 地 址 。 在 
实际 应 用 中 ， 代 理 服务 器 软件 和 和 NAT 设备 的 使 用 让 未 注册 和 非 唯 一 的 地 
址 也 可 以 连接 Intemet。 第 12 章 将 降 恩 讲解 NAT 设 备 。 

4.2.3 将 32 位 的 三 进 制 地 址 ree va 2 式 


二 进 制 数字 【基数 是 2) 类 似 于 十 进 制 数字 基数 是 10) ， 只 是 每 
位 代表 的 值 是 2 的 乘 方 而 不 是 10 的 乘 方 。 如 图 4.4 所 示 ， 十 进 制 数 字 
从 最 右边 代表 1 的 位 置 开 始 ， 每 向 左 移 一 位 所 代表 的 值 就 乘 以 10。 整 个 
数字 的 值 就 是 每 一 位 上 的 值 之 和 。 例 如 ， 在 图 4.4 中 ， 十 进 制 数字 
126325 的 值 是 这 样 得 出 来 的 : (1x100100)+(2x10000)+(6x1000)+ 
(3x100)+(2x10)+(5x1)=126325。 
二 进 制 数字 最 右边 的 位 置 也 代表 1， 每 向 左 移 一 位 所 代表 的 值 就 乘 














以 2〈 见 图 4.5) 。 


®@ 
© © 
oo 
Pe 
SYR FEE 
SSL As 
SSS Ses 1 x 100,000 =100,000 
AR 2 x 10,000 = 20,000 
A 6x 1000= 6,000 
人 20 G3 人 六 100 = 300 
pm 10 = 20 
5 x 1 = 二 5 


126,325 








S 
位 
[2 ~ ™、 
中 oooQaQQa 1 x 128 =128 
om we 0 x Bax 0 
A ee fh SR x 32= 32 
上 1。 牛 mi 
0 x 8= 0 
元 ER 
1 2 2 
1x i 
183 





二 进 制 10110111 = 十 进 制 183 
图 4.5 基数 为 2 的 计数 系统 


注意 : 0 和 1 
0 因为 0 和 1 正好 与 数字 电路 的 开 和 关 状 态 
目 对 应 。 

只 要 把 二 进 制 数值 中 为 1 的 位 置 所 代表 的 数值 相 加 起 来 ， 束 可 以 得 


到 相应 的 十 进 制 数值 。IP 地 址 是 由 4 个 八 位 组 组 成 的 ， 每 个 八 位 组 必须 
单独 进行 转换 。 下 面 的 例子 展示 了 如 何 把 32 位 的 二 进 制 耳 地 址 转化 为 点 
分 十 进 制 形式 。 

转化 二 进 制 地 址 01011001000111011100110000011000 的 步骤 如 下 。 

1. 把 地 址 划分 为 8 位 的 八 位 组 。 

八 位 组 1: 01011001 

八 位 组 2: 00011101 

八 位 组 3: 11001100 

八 位 组 4: 00011000 

2. 把 每 一 个 八 位 组 转化 为 十 进 制 数 值 ， 其 过 程 如 表 4.2 所 示 。 


表 4.2 把 二 进 制 地 址 转化 为 点 分 十 进 制 形 式 








八 位 组 二 进 制 值 计算 十 进 制 什 

1 01011001 1+8+16+64 89 
00011101 1+4+8+16 29 

3 11001100 4+8+64+128 204 

4 00011000 8+16 24 











3. 按照 从 左 到 右 的 次 序 写 下 十 进 制 值 ， 用 句点 分 隔 每 个 值 。 

地 址 就 是 : 89.29.204.24 

本 章 后 面 的 练习 里 有 其 他 一 些 把 二 进 制 地 址 转化 为 点 分 十 进 制 形式 
的 题目 ， 读 者 可 以 多 加 练习 。 


4.2.4 1 妆 


十 进 制 数值 转化 为 二 进 制 八 位 组 就 是 图 4.5 所 示 过 程 的 相反 过 程 ， 
也 束 是 把 地 址 中 每 个 点 分 十 进 制 值 转化 为 二 进 制 八 位 组 ， 再 把 这 些 八 位 
组 连接 起 来 。 下 面 的 过 程 展 示 了 如 何 把 十 进 制 207 转 化 二 进 制 八 位 组 。 

注意 : 更 多 的 二 进 制 位 值 

这 个 过 程 使 用 的 是 代表 IP 地 址 八 位 组 的 十 进 制 数 值 。 如 果 十 进 制 数 
值 大 于 255， 我 们 就 需要 扩展 图 4.5 中 所 示 的 二 进 制 位 值 ， 并 相应 地 调整 
转换 过 程 。 

把 十 进 制 207 转 化 为 二 进 制 八 位 组 的 步骤 如 下 所 示 。 

1. 把 要 转化 的 值 〈 本 例 是 207) 与 128 相 比 。 如 果 大 于 等 于 128， 就 
把 它 减 去 128， 并 写 下 1。 如 果 小 于 128， 就 减 去 0， 并 写 下 0。 

207>128 

207-128=79 

值 128 对 应 的 位 写 下 1 





到 目前 为 止 的 结果 : 1 
2. 采用 第 1 步 里 得 到 的 结果 《本 例 是 79) ， 把 它 与 64 相 比 。 如 果 大 


于 等 于 64， 就 减 去 64， 并 写 下 1。 如 果 小 于 64， 就 减 去 0， 并 写 下 0。 


79>64 

79-64=15 

值 64 对 应 的 位 写 下 1 

到 目前 为 止 的 结果 : 11 

3. 采用 第 2 步 里 得 到 的 结果 〈 本 例 是 15) ， 把 它 与 32 相 比 。 如 果 大 


于 等 于 32， 就 减 去 32， 并 写 下 1。 如 果 小 于 32， 就 减 去 0， 并 写 下 0。 


15<32 
15-0=15 

值 32 对 应 的 位 写 下 0 

到 目前 为 止 的 结果 : 110 


4. 采用 第 3 步 里 得 到 的 结果 ， 把 它 与 16 相 比 。 如 果 大 于 等 于 16， 束 


减 去 16， 并 写 入 1。 如 果 小 于 16， 就 减 去 0， 并 写 下 0。 


局 


因 


15<16 
15-0=15 

值 16 对 应 的 位 写 下 0 

到 目前 为 止 的 结果 : 1100 

5. 把 第 4 步 得 到 的 结果 与 8 相 比 。 如 果 大 于 等 于 8， 就 减 去 8， 并 写 


。 如 果 小 于 8， 残 减 去 0， 并 写 0。 


15>8 

15-8=7 

值 8 对 应 的 位 写 下 1 

到 目前 为 止 的 结果 : 11001 

6. 把 第 5 步 得 到 的 结果 与 4 相 比 。 如 果 大 于 等 于 4， 就 减 去 4， 并 写 





。 如 果 小 于 4， 就 减 去 0， 并 写 下 0。 


7>4 
7-4=3 

值 4 对 应 的 位 写 下 1 

到 目前 为 止 的 结果 : 110011 

7. 把 第 6 步 得 到 的 结果 与 2 相 比 。 如 果 大 于 等 于 2， 就 减 去 2， 并 写 





。 如 果 小 于 2， 就 减 去 0， 并 写 下 0。 


3>2 
3-2=1 

值 2 对 应 的 位 写 下 1 

到 目前 为 止 的 结果 : 1100111 





8. 如 果 第 7 步 得 到 的 结果 是 1， 就 写 下 1。 如 果 第 7 步 得 到 的 结果 是 
0， 就 写 下 0。 

1=1 

值 1 对 应 的 位 写 下 1 

最 后 结果 : 11001111 

这 样 就 把 十 进 制 数 值 207 转 化 为 相应 的 三 进 制 11001111。 

4.2.5 特殊 的 IP 地 址 


有 一 些 IP 地 址 具有 特殊 含义 ， 不 会 分 配给 主机 。 全 0 的 主机 ID 表 示 
网 络 本 身 。 例 如 ， IP 地 址 129.152.0.0 是 指 网 络 ID 为 129.152 的 B 类 网 络 。 

全 1 的 主机 ID 表示 广播 。 广 播 是 癌 网 络 中 全 部 主机 发 送 的 消息 。 卫 
地 址 129.152.255.255 就 是 网 络 ID 为 129.152 的 B 类 网 络 的 广播 地 址 (十 进 
制 的 255 对 应 于 全 1 的 八 位 组 11111111) 。 

地 址 255.255.255.255 也 可 以 用 于 网 络 上 的 广播 。 

以 十 进 制 值 127 开头 的 地 址 是 环 回 地 址 。 目 的 地 址 为 环 回 地 址 的 消 
县 是 由 本 地 TCP/IP 软 件 发 送 的 ， 其 目的 在 于 测试 TCP/PP 软 件 是 否 工 作 
正常 。 第 14 章 将 会 讲 到 ping 功 能 的 使 用 。 通 常 使 用 的 环 回 地 址 是 
127.0.0.1。 

RFC 1597 (之 后 被 RFC 1918 取 代 ) 保留 了 一 些 IP 地 址 范围 用 于 私 
有 网 络 ， 其 设想 是 ， 这 些 私有 网 络 不 会 连接 到 Intemet， 所 以 不 必要 求 是 
唯一 的 。 目 前 ， 这 些 私 有 地 址 范围 经 常用 于 “网 络 地 址 转换 (NAT) ” 设 
备 背 后 的 受 保护 网 络 。 

> 10.0.0.0~10.255.255.255 

> 172.16.0.0~172.31.255.255 

> 192.168.0.0~192.168.255.255 

由 于 私有 地 址 范围 不 必 与 其 余地 址 同步 ， 所 以 整个 地 址 范围 对 于 任 
何 网络 都 是 可 用 的 。 网 络 管理 员 利 用 这 些 私 有 地 址 可 以 获得 更 大 的 子 网 
空间 和 可 用 地 址 范围 。 

地 址 范围 169.254.0.0 一 169.255.255.255 保留 用 于 自动 配置 。 第 12 
章 将 会 讲 到 零 配 置 系统 (Zeroconf system) 和 其 他 自动 配置 协议 。 


4.3 地 址 解析 协议 CARP) 


前 面 讲 到 ， 局 域 网 上 的 计算 机 使 用 网 际 层 的 地 址 解析 协议 (ARP) 
把 IP 地 址 映射 为 物理 地 址 。 主 机 必须 知道 目的 网 络 适 配器 的 物理 地 址 才 
能 向 它 发 送 数 据 ， 由 此 可 见 ，ARP 是 一 个 重要 的 协议 。 但 是 TCP/IP 的 实 
现 方式 让 ARP 和 关于 物理 地 址 转换 的 任何 细节 对 于 用 户 来 说 几乎 是 完全 




















透明 的 ， 对 于 用 户 来 说 ， 网 络 适配器 就 是 以 IP 地 址 标识 的 。 然 而 在 幕 
后 ，IP 地 址 必须 映射 到 物理 地 址 ， 消 息 才 能 到 达 目 的 地 。 

网 段 上 每 台 主 机 在 内 存 中 都 保存 着 一 个 被 称 为 ARP 表 或 ARP 缓存 
的 表格 ， 其 中 包含 着 网 段 上 其 他 主机 的 IP 地 址 与 物理 地 址 的 对 应 关系 
( 见 图 4.6) 。 当 主机 需要 向 网 段 上 的 其 他 主机 发 送 数 据 时 ， 它 会 查看 
ARP 绥 存 来 获得 目的 的 物理 地 址 。 ARP 绥 存 是 动态 变化 的 。 如 果 要 接收 
i 
求 帧 的 广播 。 





IP: 206.154.13.82 
物理 地 址 : 00-E0-98-07-8E-39 


E = | 1P: 206.154.13.83 
0 物理 地 址 : 35-00-21-01-31 







二 | IP: 206.154.13.85 
物理 地 址 : 91-03-20-51-09-26 


IP: 206.154.13.84 = 
理 : 44-45-53-54-00-00 

物理 地 址 00-E0-98-07-8E-39 206.154.13.82 
35-00-21-01-3B-14 206.154.13.83 





44-45-53-54-00-00 206.154.13.84 


图 4.6 ARP 把 IP 地 址 映射 为 物理 地 址 


ARP 请 求 帧 包含 未 解析 的 卫 地 址 ， 还 包含 发 送 这 个 请 求 的 主机 的 IP 
地 址 和 物理 地 址 。 网 段 上 的 其 他 主机 接收 到 这 个 ARP 请 求 ， 拥 有 这 个 未 
解析 IP 地 址 的 主机 会 向 发 出 请 求 的 主机 发 送 自 己 的 物理 地 址 。 这 个 新 的 
IP 地 址 与 物理 地 址 的 对 应 关系 就 会 添加 到 请 求 主机 的 ARP 绥 存 里 

一 般 来 说 ，ARP 绥 存 里 的 条 目 在 一 定时 间 之 后 会 过 期 ， 条 日 就 会 被 
从 表 里 删 除 。 当 主机 需 要 向 这 个 条 目 所 包含 的 耳 地 址 发 送 数据 时 ， 解 析 
过 程 会 再 次 重复 。 


4.4 HARP (RARP) 


RARP 的 含义 是 道 辐 ARP， 也 就 是 ARP 的 道 过 程 。 当 我 们 知道 IP 地 
址 而 不 知道 物理 地 址 时 ， 可 以 使 用 ARP; 而 在 知道 物理 地 址 而 不 知道 IP 
地 址 时 ， 则 应 使 用 RARP。RARP 经 常 与 BOOTP 协 议 共 同 使 用 来 启动 无 
查 工 作 站 。 

注意 : BOOTP (启动 PROM) 

很 多 网 络 适配器 具有 一 个 空 的 插 柳 ， 支 持 被 称 为 “启动 PROM” 的 集 
成 电路 。 计 算 机 一 加 电 ，PROM 国 件 束 会 启动 ， 从 网 络 服务 器 而 不 是 本 
地 人 硬盘 来 读 取 并 加 载 操作 系统 。 下 载 到 BOOTP 设备 的 操作 系统 被 预 配 
置 为 特定 的 IP 地 址 。 





发 送 到 远程 计算 机 的 数据 通 篆 会 经 过 一 个 或 多 个 路 由 器 ， 这 些 路 由 
器 在 把 数据 传输 到 最 终 目 的 地 的 过 程 中 可 能 发 生 多 种 问题 。 路 由 器 利用 
Internet 控 制 消 息 协 议 〈ICMP) 消息 把 问题 通知 给 源 卫 。ICMP 还 有 用 于 
其 他 调试 和 排 错 的 功能 。 

下 面 列 出 了 最 常见 的 ICMP 消 息 。 当 然 ， 还 有 其 他 一 些 情形 会 产 
ICMP 消 息 ， 但 它们 发 生 的 概率 是 相当 低 的 。 

> Echo Request〈 回 显 请 求 ) 和 Echo Reply〈 回 显 应 答 ) : ICMP 
经 党 被 用 于 测试 ， 比 如 测试 连接 的 ping 命 令 实 际 上 束 是 在 使 用 ICMP。 
ping 疝 某 个 IP 地 址 发 送 一 个 数据 报 ， 并 且 要 求 目 的 计算 机 在 啊 应 中 返回 
所 发 送 的 数据 。ping 实 际 使 用 的 命令 是 ICMP 的 Echo Request 和 Echo 
Reply。 

> Source Quench( 源 抑制 ) : 如 果 一 台 高 速 计算 机 癌 远 程 计 算 机 
发 送 大 量 数 据 ， 可 能 会 使 路 由 器 产生 过 载 。 这 时 路 由 器 可 以 利用 ICMP 
向 源 IP 发 送 Source Quench 消 息 ， 让 它 降 低 发 送 数据 的 速度 。 如 果 有 必 
要 ， 还 可 以 同 源 耳 发 送 额外 的 源 抑制 消息 。 

> Destination Unreachable 〈 目 的 不 可 到 达 ) : 如 果 路 由 器 收 到 一 
个 不 能 传递 的 数据 报 ，ICMP 束 会 癌 源 IP 返回 一 个 Destination 
Unreachable 消 息 。 路 由 塔 不 能 传递 消息 的 原因 之 一 是 网 络 由 于 设备 故障 
或 维修 而 关闭 。 

> Time Exceeded 〈 超 时 ) : 当 数 据 报 由 于 TIL 为 0 而 被 抛弃 时 ， 
ICMP 就 会 向 源 PP 发送 这 个 消息 。 这 表示 对 于 当前 TTL 值 来 说 ， 到 达 目 
标 需 要 经 过 太 多 的 路 由 器 ;或 者 是 说 明 路 由 表 出 了 问题 ， 导 致 数据 报 在 
同一 台 路 由 右上 连续 循环 。 








> 当 数 据 报 无 限 循 环 且 永远 不 能 到 达 目 的 地 时 ， 束 会 发 生路 由 环 
路 。 假 设 3 台 路 由 器 分 别 位 于 洛杉矶 、 旧 金山 入 佛 。 洛 杉 矶 的 路 由 器 
癌 旧 金山 的 路 由 器 发 送 一 个 数据 报 ， 后 者 又 发 送 给 丹佛 ， 丹 佛 又 发送 给 
洛杉矶 。 这 样 一 来 ， 数 据 报 束 被 陷 在 其 中 ， 不 断 在 这 3 人 台 路 由 器 之 间 循 
环 ， 直 到 TITL 为 0。 路 由 环 路 不 应 该 发 生 ， 但 偶尔 也 会 出 现 。 当 网 络 管 
理 员 在 路 由 表 里 设置 了 一 条 静态 路 由 时 ， 有 了 时 就 可 能 导致 环 路 路 由 。 

> Fragmentation Needed (需要 分 段 ): 如 果 一 个 数据 报 的 “Don’t 
Fragment〔 不 可 分 解 ) ”位 被 设置 为 1， 而 路 由 器 必须 要 对 数据 报 进行 分 
段 才能 把 它 转发 到 下 一 全 路 由 器 或 目的 地 ， 这 时 ICMP 就 会 发 送 这 条 消 





网 际 层 还 包含 还 一 些 协 议 ， 比 如 用 于 路 由 进程 的 边界 网 关 协 议 
(BGP) 和 路 由 信息 协议 CRIP) 。 第 8 章 将 会 详细 讲解 TCP/P 中 的 路 由 
内 容 。 

IPSec 协议 在 IPv4 里 是 可 选 的 ， 但 在 IPv6 里 束 是 必需 的 。 它 也 工作 于 
网 际 层 ， 提 供 一 个 安全 的 加 密 通 信 ( 见 第 11 章 )。 其 他 一 些 网 际 协议 还 
包括 用 于 多 播 的 协议 。 正 如 前 面 所 提 到 的 ， 网 际 层 对 应 于 OSI 模 型 的 第 3 
层 ， 所 以 一 切 被 称 为 第 3 层 协议 的 协议 都 工作 于 网 际 层 。 


和 


本 章 介 绍 了 网 际 层 协 议 IP、ARP、RARP 和 ICMP。1IP 提 供 了 一 种 与 
硬件 无 关 的 寻 址 系统 ， 用 于 在 网 络 上 传输 数据 。 我 们 学 习 了 二 进 制 和 点 
分 十 进 制 IP 地 址 格式 ， 以 及 IP 地 址 的 A、B、C、D 和 E 类 地 址 。ARP 是 把 
IP 地 址 解析 为 物理 地 址 的 协议 ，RARP 是 ARP 的 道 过 程 ， 可 以 让 无 盘 计 
st 自己 的 PP 地址 。ICMP 是 用 于 诊断 和 测试 
和 协议。 


4.8 问 与 答 


问 : 常用 什么 地 址 标记 方式 来 简化 32 位 二 进 制 地 址 ? 

答 : 氮 分 十 进 制 。 

问 : 在 收 到 一 个 IP 地 址 时 ，ARP 会 返回 什么 信息 ? 

答 : 相应 的 物理 (或 MAC) 地 址 。 

问 : 如 果 路 由 器 来 不 及 处 理 大 量 流量 ， 产 IP 会 收 到 什么 类 型 的 
ICMP 消 息 ? 








蒂 互 隘 


4.9 测验 


: Source Quench 〈 源 抑制 ) 消息 。 
以 110 开 头 的 三 进 制 地 址 属于 哪 一 类 IP 地 址 ? 
: C 类 地 址 。 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问 题 由 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答案 ， 请 


参见 附录 A。 

4.9.1 问题 

1. JIP 报 头 中 的 TTL 字 段 的 用 途 是 什么 ? 

2.A 类 地 址 中 的 网 络 ID 和 主机 ID 的 范围 分 别 是 多 大 ? 
3. 什么 是 八 位 组 ? 

4. IP 地 址 是 什么 的 地 址 ? 

5. ARP 和 RARP 之 间 的 区 别 是 什么 ? 
4.10 练习 

1. 把 以 下 二 进 制 八 位 组 转化 为 相应 的 十 进 制 数值 。 
00101011 答案 二 43 

01010010 答案 二 82 

11010110 答案 一 214 

10110111 答案 三 183 

01001010 答案 三 74 

01011101 答案 二 93 

10001101 答案 二 141 

11011110 答案 二 222 


2. 把 以 下 十 进 制 值 转化 为 二 进 制 八 位 组 。 


13 答案 


二 00001101 


184 ”答案 ==10111000 
238 答案 二 11101110 
37 ” 管 案 二 00100101 

98 ， 答案 三 01100010 

161 答案 二 10100001 
243 答案 二 11110011 
189 ”答案 ==10111101 


3. 把 下 面 的 32 位 IP 地 址 转化 为 点 分 十 进 制 形式 。 

11001111 00001110 00100001 01011100 答案 二 207.14.33.92 
00001010 00001101 01011001 01001101 答案 二 10.13.89.77 
10111101 10010011 01010101 01100001 答案 二 189.147.85.97 


4.11 关键 术语 


复习 下 列 关 键 术语 : 

> 地 址 类 : 了 地 址 的 分 类 系统 。 网 络 类 别 确定 了 将 地 址 划分 为 网 
络 ID 和 主机 ID 的 方式 。 

> 地 址 解析 协议 (ARP) : 网 际 层 的 重要 协议 ， 用 于 获取 与 IP 地 
址 相对 应 的 物理 地 址 。ARP 绥 存 记 录 着 最 近 解 析 的 物理 地 址 和 IP 地 址 
对 。 

> BOOTP: 用 来 远程 启动 计算 机 或 其 他 网 络 设备 的 协议 。 

> 点 分 十 进 制 ， 基数 为 10， 而 且 使 用 4 个 数字 来 表示 二 进 制 IP 地 址 
的 形式 ， 这 4 个 数字 分 别 表示 二 进 制 地 址 的 4 个 八 位 组 ， 这 4 个 数字 之 间 
使 用 句点 分 开 (209.121.131.14) 。 

> 主机 ID: IP 地 址 的 组 成 部 分 ， 代 表 网 络 上 的 一 个 节点 。 一 个 网 
络 内 每 个 节点 的 卫 地 址 都 应 该 具有 唯一 的 主机 ID。 

> Internet 控制 消息 协议 〈ICMP) : 网 际 层 的 重要 协议 ， 路 由 器 
利用 它 发 送 消息 来 告知 源 了 了 关于 路 由 的 问题 。ping 命 令 也 使 用 ICMP 来 判 
断 网 络 上 其 他 主机 的 状态 。 

> 网 际 协议 CIP) : 网 际 层 的 重要 协议 ， 用 于 数据 报 的 寻 址 、 传 
递 和 路 由 。 

> 多 播 : 允许 数据 报 同时 发 送 给 一 组 主机 的 技术 。 

> 网 络 ID: IP 地 址 的 组 成 部 分 ， 表 示 网 络 。 

> 八 位 组 : 一 个 8 位 的 二 进 制 数 值 。 

> 逆 问 地 址 解析 协议 : TCP/IP 的 一 个 协议 ， 根 据 物理 地 址 返回 相 
应 的 IP 地址， 一 般 被 远程 启动 的 无 盘 工 作 站 使 用 。 

> 子 网 : TCP/AP 地 址 空间 的 逻辑 划分 。 








第 5 章 站 分 和 CIDR 
本 章 介 绍 如 下 内 容 : 

> 子 网 划分 ; 

> 子 网 掩 人 码 ; 


> CIDR 标 记 。 

子 网 划分 可 以 利用 IP 地 址 系统 把 物理 网 络 分 解 为 更 小 的 逻辑 实体 
一 一 子 网 。 随 着 CIDR 和 IPV6 的 出 现 ， 这 种 划分 网 络 的 方法 逐渐 失去 了 
市 场 ， 但 是 CIDR 和 IPv6 技 术 也 是 借用 了 基本 的 子 网 划分 原理 ， 而 且 如 
果 在 讲解 TCP/P 时 不 提 及 子 网 划分 ， 则 这 样 的 讲解 也 称 不 上 是 完整 的 。 
本 章 将 介绍 子 网 划分 的 原因 与 优点 ， 以 及 生成 子 网 掩 码 的 步 又 与 过 程 。 

学 完 本 章 后 ， 你 可 以 : 

> 掌握 如 何 使 用 子 网 ; 

> 知道 子 网 的 优点 ; 

> 根据 业务 需要 产生 子 网 掩 码 ; 

掌握 超 网 和 CIDR 标 记 。 


5.1 


IP 地 址 必须 同时 表明 主机 以 及 主机 所 在 的 网 络 。 在 第 4 章 讲 到 ，IP 
地 址 分 类 系统 可 以 让 我 们 区 分 地 址 中 的 网 络 部 分 和 主机 部 分 。 但 是 ， 这 
种 地 址 分 类 系统 的 灵活 性 不 够 。 在 现实 世界 中 ， 网 络 具 有 各 种 规模 ， 很 
多 网 络 被 划分 为 更 小 的 单元 ， 而 且 真 实 世 界 的 网 络 并 不 是 运行 于 这 种 分 
类 级 别 上 的 ，ISP (Internet 服务 供应 商 ) 和 网 络 管理 员 需 要 更 灵活 的 方 
式 对 网 络 进 行 划 分 ， 让 数据 报 能 够 到 达 面 向 较 小 地 址 空间 的 路 由 器 。 

子 网 划分 可 以 将 网 络 分 解 为 被 称 为 子 网 的 较 小 单元 。 子 网 的 概念 最 
早 是 源 自 于 地 址 分 类 系统 的 ， 而 且 在 A 类 、B 类 和 C 类 地 址 中 能 够 得 以 很 
好 的 展现 。 然 而 ， 硬 件 厂商 和 Internet 社 区 建立 了 一 种 解析 地 址 的 新 系 
统 ， 名 为 无 类 别 域 间 路 由 (CIDR) ， 它 不 需要 关心 地 址 类 别 。 本 章 首 
先 介绍 地 址 分 类 系统 中 的 子 网 划分 ， 然 后 再 讨论 CIDR 标 记 。 


5.2 划分 网 络 


第 4 章 介绍 的 地 址 分 类 系统 让 所 有 的 主机 能 够 识别 了 下 地 址 中 的 网 络 
ID， 从 而 把 数据 报 发 送 给 正确 的 网 络 。 但 是 ， 根 据 A 类 、B 类 或 C 类 网 络 
ID 来 识别 网 段 具有 一 些 局 限 性 ， 主 要 是 在 网 络 级 别 之 下 不 能 对 地 址 空间 
进行 任何 逻辑 细 分 。 

图 5.1 所 示 为 一 个 A 类 网 络 。 第 4 章 讲 到 ， 数 据 报到 达 网 关 ， 然 后 传 
输 到 99.0.0.0 地 址 空间 。 但 如 果 要 考虑 它 在 这 个 地 址 空间 中 是 如 何 传递 
的 ， 这 个 图 示 就 会 变 得 非常 复杂 ， 因 为 A 类 网 络 能 够 容纳 超过 1600 万 台 
0 
数量。 




















去 往 : 99.125.31.49 





网 络 : 99.0.0.0 





J 由 





最 多 1600 万 台 主机 ! 
图 5.1 将 数据 发 送 到 A 类 网 络 


为 了 在 大 型 网 络 里 实现 更 高 效 的 数据 传输 ， 地 址 空间 被 划分 为 较 小 
的 网 段 〈 见 图 5.2) 。 把 网 络 划 分 为 独立 的 物理 网 络 能 够 增加 网 络 的 整 
体 性 能 ， 也 就 能 够 让 网 络 使 用 更 大 的 地 址 空间 。 在 这 种 情况 下 ， 在 地 址 
空间 里 划分 网 段 的 路 由 器 需要 适当 的 指示 来 决定 把 数据 传输 到 哪里 。 它 
们 不 能 使 用 网 络 ID， 因 为 传输 到 这 个 网 络 的 数据 报 具 有 相同 的 网 络 
ID 〈99.0.0.0) 。 尽 管 可 以 利用 主机 ID 来 组 织 地 址 空间 ， 但 是 对 于 能 够 
容纳 超过 1600 万 台 主 机 的 网 络 来 说 ， 将 会 是 很 厂 烦 、 非 常 不 灵活 、 完 全 
不 实用 的 。 唯 一 可 行 的 解决 办 法 是 在 网 络 标 ID 下 对 地 址 空间 进行 某 种 
细 分 ， 让 主机 和 路 由 器 能 够 根据 耳 地 址 判断 应 该 把 数据 发 送 到 哪个 网 


段 





子 网 划分 束 是 在 网 络 ID 之 下 提供 了 第 2 层 罗 辑 组 织 。 路 由 堪 能 够 
把 数据 报 发 送 给 网 络 里 的 某 个 子 网 地 址 (一般 对 应 于 一 个 网 段 ，， 而 当 
数据 报到 达 子 网 之 后 ， 就 会 被 ARB 解 析 为 物理 地 址 。 

那么 子 网 地 址 从 何 而 来 呢 ，32 位 的 耳 地 址 不 是 被 划分 为 网 络 ID 和 主 
机 ID 了 吗 ?TCP/IP 的 设计 者 借用 了 主机 ID 里 的 一 些 位 来 形成 子 网 地 
址 。 一 个 名 为 子 网 捧 码 的 参数 指明 了 地 址 中 多 少 位 用 于 子 网 ID、 保 留 多 


少 位 作为 实际 的 主机 ID。 
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图 5.2 对 网 络 进行 组 织 ， 以 便 更 高 效 地 出 传输 


像 IP 地 址 一 样 ， 子 网 掩 码 也 是 个 32 位 的 二 进 制 值 ， 它 的 形式 能 够 说 
明 与 之 相关 的 卫 地 址 的 子 网 ID。 图 5.3 所 示 为 一 个 卫 地 址 / 子 网 掩 码 对 。 
子 网 掩 码 里 的 每 一 位 代表 也 地址 中 的 一 个 位 ， 用 1 表示 卫 地 址 中 属于 网 
络 ID 或 子 网 ID 的 位 ， 用 0 表示 了 地址 里 属于 主机 ID 的 位 。 我 们 可 以 把 子 
0 图 5.4 所 示 为 子 网 网 络 和 非 子 网 网 络 上 地 
立 的 对 比 。 





,主机 ID 位 
网 络 ID 和 ; 一 一 > 
子 网 ID 位 ! 


起 一 一 | 
IP 地 址 :11010000001000110110100100110011 


子 网 掩 码 :11111111111111111111111100000000 


i 
子 网 掩 码 中 的 1 位 表示 
对 应 于 IP 地 址 中 的 网 络 








ID 和 子 网 ID 
图 5.3 IP 地 址 / 子 网 掩 码 对 
32 位 
非 子 网 网 络 : 
子 网 网 络 : 
[ 疾 记 0 网 ID 主机 ID 
类 型 确定 ) 
Es 
的 总 长 度 由 子 网 掩 码 确定 





图 5.4 子 网 网 络 中 的 地 址 位 与 非 子 网 网 络 中 地 址 位 的 比较 


在 子 网 网 络 上 ， 路 由 器 和 主机 所 使 用 的 路 由 表 包 含 了 与 每 个 耻 地 址 
相关 的 子 网 掩 码 信息 《有 关 路 由 的 信息 ， 请 见 第 8 章 ) 。 从 图 5.5 可 以 看 
出 ， 数 据 报 根据 网 络 ID 被 路 由 到 目标 网 络 ， 而 这 个 网 络 ID 是 由 地 址 类 别 
决定 的 。 当 数据 报到 达 目 标 网 络 之 后 ， 它 根据 子 网 ID 路 由 到 合适 的 网 
段 。 在 到 达 这 个 网 段 之 后 ， 再 根据 主机 ID 传输 到 正确 的 计算 机 。 
















ID ID ID 


1. 网 络 ID 用 来 寻找 网 络 


3. 主 机 ID 用 来 寻找 子 
网 中 的 主机 





网 络 管理 员 通 常 把 子 网 掩 码 作 为 TCP/IP 配置 的 参数 分 配给 每 个 主 
机 。 如 果 主 机 通过 DHCP ( 见 第 12 章 ) 获得 IP 地 址 ，DHCP 服 务 器 会 同 
时 分 配 一 个 子 网 掩 码 。 

子 网 掩 码 必须 仔细 计算 ， 并 且 要 反应 网 络 的 内 部 组 织 。 一 个 子 网 内 
的 所 有 主机 应 该 具有 相同 的 子 网 ID 和 子 网 掩 码 。 为 了 便于 人 们 使 用 ， 
子 网 掩 码 通 常 以 点 分 十 进 制 的 形式 表示 ， 类 似 于 IP 地 址 。 

前 面 已 经 介绍 过 ， 子 网 掩 码 是 个 32 位 的 十 进 制 数值 。 利 用 第 4 章 





介绍 的 方法 ， 可 以 把 这 种 三 进 制 值 转化 为 点 分 十 进 制 形式 ， 而 且 与 IP 地 
址 相 比 ， 子 网 掩 码 的 转化 通常 会 更 简单 。 对 应 于 地 址 中 网 络 D 和 子 网 ID 
的 掩 码 位 是 1， 代 表 IP 地 址 里 主机 ID 的 掩 码 位 是 0。 这 意味 着 1 都 在 掩 码 
的 左 侧 ， 而 0 都 在 右 侧 (除了 极 少 的 例外 ) 。 在 子 网 掩 码 中 ， 一 组 8 位 1 
对 应 于 十 进 制 的 255 二进制 11111111〉，8 位 0 对 应 于 十 进 制 的 0。 下 面 
这 个 常见 的 子 网 撼 码 : 

11111111111111111111111100000000 

以 点 分 十 进 制 的 形式 表示 就 是 255.255.255.0。 类 似 地 ， 子 网 掩 码 : 

11111111111111110000000000000000 

以 点 分 十 进 制 的 形式 表示 就 是 255.255.0.0。 

可 以 看 出 ， 如 果子 网 掩 码 在 八 位 组 的 边界 对 地 址 进行 划分 ， 我 们 能 
够 很 容易 转化 为 句点 分 隔 的 十 进 制 形式 。 然 而 有 些 子 网 撼 码 并 不 是 在 八 
位 组 的 边界 对 地 址 进行 划分 ， 这 时 我 们 只 需 判 断 混合 八 位 组 (包含 1 和 0 
的 八 位 组 〉 所 对 应 的 十 进 制 数 值 。 

把 和 二进制 子 网 掩 码 转 化 为 点 分 十 进 制 形式 的 步 又 如 下 所 示 。 

1. 在 子 网 掩 码 中 每 个 八 位 组 的 边界 插入 一 个 句点 ， 从 而 把 它 分 为 4 
个 八 位 组 : 

11111111.11111111.11110000.00000000 

2. 全 为 1 的 八 位 组 就 对 应 于 十 进 制 255， 全 为 0 的 对 应 于 0。 

3. 利用 第 4 章 介 绍 的 技术 把 这 些 八 位 组 转化 为 十 进 制 形式 。 简 单 
地 说 ， 就 是 把 为 荆 的 位 所 代表 的 值 相 加 《上 见 图 4.5) 。 

4. 写 下 最 终 的 点 分 十 进 制 十 进 制 形式 : 

255.255.240.0 

在 大 多 数 情况 下 ， 对 计算 机 的 TCP/P 进行 配置 时 ， 我 们 都 需要 输 
入 点 分 十 进 制 形式 的 子 网 掩 码 。 


5.4 使 用 


子 网 掩 码 决定 了 网 络 有 D 之 后 有 多 少 位 是 作为 子 网 D 的 。 子 网 有 D 的 长 
度 不 是 固定 的 ， 取 决 于 子 网 掩 码 的 值 。 子 网 ID 越 长 ， 留 给 主机 ID 的 位 数 
越 少 。 换 句 话说 ， 如 果 网 络 有 很 多 子 网 ， 每 个 子 网 上 的 主机 容量 就 会 减 
少 ;， 如 果子 网 数量 较 少 ， 而 且 子 网 ID 占据 的 位 数 也 较 少 ， 每 个 子 网 的 
主机 容量 就 会 增加 。 

注意 : 类 和 掩 码 

地 址 类 别 也 决定 了 子 网 了 D 占 用 使 用 多 少 位 。 比 如 掩 码 

11111111111111111110000000000000 

指定 了 网 络 ID 与 子 网 ID 一 共 占 据 了 19 位 。 如 果 这 个 掩 码 用 于 一 个 B 




















类 地 址 (网 络 有 D 为 16 位 )， 那 么 子 网 ID 就 只 有 3 位 。 如 果 它 用 于 A 类 地 
址 (网 络 ID 为 8 位 )， 子 网 有 D 就 有 11 位 。 

子 网 ID 的 分 配 〈( 以 及 子 网 掩 码 的 分 配 ) 取决 于 网 络 的 配置 。 最 好 的 
方案 是 先 规划 网 络 ， 确 定 全 部 网 段 的 数量 与 位 置 ， 然 后 为 每 个 网 段 分 配 
一 个 子 网 ID。 为 了 给 每 个 子 网 分 配 唯 一 的 子 网 ID， 需 要 有 足够 的 位 数 。 
在 可 能 时 要 保留 一 些 空间 ， 以 便 在 网 络 扩 展 时 容纳 更 多 的 子 网 。 

下 面 是 一 个 简单 的 示例 。 这 里 是 一 个 B 类 网 络 ， 它 的 第 3 个 八 位 组 
《在 点 分 十 进 制 下 地 址 中 是 第 3 个 数值 ) 被 用 作 子 网 ID。 在 图 5.6 中 ， 网 
络 129.100.0.0 被 划分 为 4 个 子 网 。 分 配 的 子 网 掩 码 是 255.255.255.0， 表 示 
网 络 ID 和 子 网 掩 码 占据 了 了 地 址 中 的 3 个 八 位 组 。 由 于 这 个 地 址 是 个 B 炊 
2 地 址 中 的 前 两 个 八 位 组 是 网 络 ID。 因 此 图 5.6 中 的 子 网 A 具 有 如 下 

网 络 ID: 129.100.0.0 

子 网 ID: 0.0.128.0 

全 0 或 全 1 的 主机 ID 是 不 能 分 配 的 ， 因 此 ， 图 5.6 所 示 的 配置 文 持 最 
多 254 个 子 网 ， 每 个 子 网 最 多 容纳 254 台 主机 。 在 能 够 使 用 B 类 网 络 地 址 
(已 经 越 来 越 难 获得 了 ) 并 且 任 何 子 网 不 会 超过 254 台 主机 时 ， 这 是 一 
种 相当 明智 的 解决 方案 。 























oy 129.100.0.0 





子 网 C 


子 网 A 于 区 
| 129.100.128.0 | 129.100.224.6 








子 网 B 


一 129.100.192.0 


图 5.6 一 个 划分 了 子 网 的 B 类 网 络 


我 们 第 常 不 能 把 一 整个 八 位 组 者 用 于 子 网 标识 ， 比 如 在 C 类 网 络 
上 ， 如 果 让 子 网 ID 占据 一 个 完整 的 八 位 组 ， 就 没有 任何 位 可 以 用 于 主机 
ID 了。 即使 在 B 类 网 络 上 ， 在 子 网 容量 需要 超过 254 台 主 机 时 ， 我 们 也 
不 能 让 子 网 ID 占据 一 个 八 位 组 。 子 网 划分 并 不 要 求 把 子 网 ID 放 在 八 位 
组 的 边界 ， 这 种 概念 在 二 进 制 形式 下 是 很 容易 理解 的 ， 但 转化 为 把 分 十 
进 制 形式 之 后 可 能 会 让 人 觉得 有 些 糊 涂 。 

注意 : 0 和 1 

尽管 不 建议 使 用 全 1 和 全 0 的 子 网 ， 但 是 有 些 路 由 絮 厂 商人 不 愿意 放弃 
这 个 宝 贯 的 地 址 空间 ， 因 此 仍然 会 对 其 提供 支持 。 

例如 ， 我 们 要 把 一 个 C 类 网 络 划 分 为 5 个 较 小 的 子 网。 这 类 地 址 给 子 
网 ID 和 主机 ID 只 剩 下 了 8 位 ， 我 们 使 用 下 面 这 样 的 子 网 掩 码 让 子 网 也 占 
据 3 位 : 

11111111111111111111111111100000 

剩 下 的 5 位 用 于 主机 ID。 子 网 ID 的 3 位 能 够 提供 8 种 不 同 值 。 前 面 讲 
到 ， 正 式 的 子 网 规则 排除 了 全 1 和 全 0 的 组 合 〈 虽 然 很 多 路 由 器 支持 分 配 























全 1 或 全 0 的 子 网 ID〉。 无 论 何 种 情况 ， 这 种 配置 对 于 6 个 子 网 都 够 用 
了 。 主 机 ID 占据 的 5 位 能 够 提供 32 种 可 能 值 ， 排 除了 全 1 和 全 0 的 组 合 之 
后 ， 子 网 最 多 可 以 容纳 30 台 主机 。 

为 了 以 点 分 十 进 制 形式 表示 这 个 子 网 掩 码 ， 可 以 按照 前 面 介绍 的 步 
又 进行 。 

1. 插入 句点 来 标记 八 位 组 的 边界 : 

11111111.11111111.11111111.11100000 

2. 全 1 的 八 位 组 对 应 于 255， 把 混合 八 位 组 转化 为 十 进 制 |: 

128+64+32=224 

3. 这 个 子 网 掩 码 的 点 分 十 进 制 形式 是 255.255.255.224。 

假定 在 这 个 子 网 网 络 中 添加 主机 〈 见 图 5.7) ， 由 于 这 个 网 络 是 C 类 
网 络 ， 前 3 个 八 位 组 对 所 有 的 主机 而 言 都 是 相同 的 。 为 了 得 到 IP 地 址 的 
第 4 个 八 位 组 ， 只 需 在 相应 位 置 写 下 二 进 制 子 网 ID 和 主机 ID。 比 如 在 图 
5.7 中 ， 子 网 C 的 子 网 ID 是 011， 由 于 这 个 值 位 于 八 位 组 的 最 左 侧 ， 因 此 
子 网 标识 实际 上 是 01100000， 相 应 的 十 进 制 数值 是 96。 如 果 主 机 是 
17〈 二 进 制 10001) ， 第 4 个 八 位 组 就 是 01110001， 相 应 的 十 进 制 数值 是 
113， 那 么 这 台 主 机 的 IP 地 址 就 是 212.114.32.113。 

注意 : 子 网 的 命名 

在 这 个 例子 中 ， 许 多 管理 员 仍 然 将 子 网 称 之 为 子 网 3( 二 进 制 为 
011) ， 并 且 在 这 二 进 制 与 十 进 制 的 转换 中 ， 他 们 仍然 说 子 网 3 是 由 数 
值 96 (011100000 或 96) 来 表示 的 。 
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网 络 ID: 212.114.32.0 
子 网 1D: 0.0.0.96 

主机 1D: 0.0.0.17 

IP 地 址 :212.114.32.113 











图 5.7 一 个 划分 了 子 网 的 C 类 网 络 


表 5.1 所 示 为 子 网 掩 码 二 进 制 形式 与 点 分 十 进 制 形 式 的 对 应 关系 ， 
其 中 包含 了 所 有 有 效 的 掩 码 。“ 描 述 ” 一 栏 说 明了 在 地 址 类 定义 的 默认 掩 
码 之 外 还 有 多 少 位 掩 码 ， 它 们 是 可 以 用 于 子 网 了 的 。 例 如 ， 默 认 的 A 类 
人 而 显示 2 个 掩 码 位 的 行 表示 在 子 网 掩 码 中 有 8 加 2， 即 
10 位 。 








表 5.1 子 网 撼 码 十 进 制 形式 与 二 进 制 形 式 的 对 应 关系 


A 类 地 址 





默认 掩 码 

1 个 子 网 位 
2 个 子 网 位 
3 个 子 网 位 


255.0.0.0 11111111 00000000 00000000 00000000 
255.128.0.0 11111111 10000000 00000000 00000000 
255.192.0.0 11111111 11000000 00000000 00000000 
255.224.0.0 11111111 11100000 00000000 00000000 





续 表 


描述 

和 A 类 地 址 
4 个 子 网 位 
5 个子 网 位 
6 个 子 网 位 
7 个 子 网 位 
8 个 子 网 位 
9 个 子 网 位 
10 个 子 网 位 
11 个 子 网 位 
12 个 子 网 位 
13 个 子 网 位 
14 个 子 网 位 
15 个 子 网 位 
16 个 子 网 位 
17 个 子 网 位 
18 个 子 网 位 
19 个 子 网 位 
20 个 子 网 位 
21 个 子 网 位 
22 个 子 网 位 
B 类 地 址 
默认 掩 码 

1 个 子 网 位 
2 个子 网 位 
3 个 子 网 位 
4 个 子 网 位 
5 个 子 网 位 
6 个子 网 位 
7 个 子 网 位 
8 个 子 网 位 
9 个 子 网 位 
10 个 子 网 位 
11 个 子 网 位 
12 个 子 网 位 
13 个 子 网 位 
14 个 子 网 位 


点 分 十 进 制 形式 


255,240,0.0 
255.248.0.0 
255.252.0.0 
255.254.0.0 
255,255.0.0 
255.255.128.0 


255,255.248.0 
255.255.252.0 
255.255.254.0 


255.255.255.224 
255.255.255.240 
255.255.255.248 
255.255.255.252 


255.255.0.0 


255.255.192.0 
255,255.224.0 
255.255.240.0 
255.255.248.0 
255.255.252.0 
255.255,254.0 
255,255.255.0 
255.255,255.128 
255.255.255.192 
255.255.255.224 
255.255.255.240 
255.255.255.248 
255.255.255.252 


二 进 制 形 式 


TEN 11110000 00000000 00000000 
1111111t 11111000 00000000 00000000 
T1111111 11171100 00000000 00000000 
HH 11111110 00000000 00000000 
HI T1111 00000000 00000000 
II 10000000 00000000 
HINDI 11000000 00000000 
i111111 11111111 11100000 00000000 
IN 41110000 00000000 
IN 11111000 00000000 
INNNN 1411100 00000000 
11111111 11111111 11111110 00000000 
IN T1111111 00000000 
二 000000 
TEN NI 1000000 
IN 11100000 
111111 1 11111111 11110000 
O00 
二 OO 


HI 1111111 00000000 00000000 
HI111117 11171111 10000000 00000000 
HH111111 T1111111 11000000 00000000 
IN 11100000 00000000 
IN 11110000 00000000 
II 11111000 00000000 
11111111 ll 11111100 00000000 
HH111114 T1711 34112110 00000000 
T1411111 11111141 T1111111 00000000 
HT HRT F111 10000000 
111111 T1111111 11111111 11000000 
II 11100000 
二 时 O00 
OOO 
HTT ERIIITL FTI TFET1O0 


续 表 








描述 点 分 十 进 制 形 式 二 进 制 形 式 

C 类 地 址 

默认 子 网 掩 码 255.255.255.0 11111111 11111111 11111111 00000000 
1 个子 网 位 255.255.255.128 | 11111111 11111111 11111111 10000000 
2 个 子 网 位 255.255.255.192 11111111 11111111 11111111 11000000 





3 个 子 网 位 255.255.255.224 11111111 11111111 11111111 11100000 





] 
4 个 子 网 位 255.255.255.240 11111111 1111111 11111111 11110000 


5 个子 网 位 255.255.255.248 11111111 11111111 11111111 11111000 











6 个 子 网 位 255.255.255.252 11111111 11111111 11111111 11111100 


注意 : 不 实用 的 掩 码 

表 5.1 中 的 一 些 掩 码 只 是 用 于 解释 其 用 途 ， 没 有 实用 价值 。 比 如 C 类 
网 络 如 果 使 用 了 6 位 的 子 网 ID， 融 只 剩 下 2 位 用 于 主机 ID 了。 而 在 这 2 位 
中 ， 全 1 地 址 (11) 保留 用 于 广播 ， 全 0 地 址 〈00) 通常 是 不 使 用 的 。 因 
此 这 个 子 网 只 能 容纳 两 台 主 机 。 


5.5 无 类 别 域 间 旺 (CIDR) 


在 2011 年 2 月 ，ICANN 宣 布 ，IPv4 地 址 已 经 耗 尽 。 在 第 4 章 ( 以 及 第 
13 章 ) 讲 到 ， 应 用 对 IP 地 址 耗 尽 问题 的 长 期 解决 方案 是 使 用 IPv6 地 址 系 
统 ， 它 可 以 提供 大 量 的 地 址 。 然 而 ，ICANN 分 配 光 所 有 的 IPv4 地 址 并 不 
意味 着 人 们 停止 使 用 其 地 址 。ISP 一 直 在 参与 IPv4 地 址 的 买卖 与 分 配 。 
IP 地 址 的 高 额 交 易 ， 对 路 由 表 中 地 址 条 目的 扩散 进行 限制 的 需求 ， 众 生 
了 另外 一 种 路 由 表示 形式 ， 这 种 形式 提供 了 更 为 一 致 的 方法 来 聚合 和 划 
分 卫 地 址 空间 。 

A 类 地 址 已 经 耗 尽 ，B 类 地 址 也 很 快 用 完了 ，C 类 地 址 还 有 剩余 ， 但 
它 的 地 址 空间 比较 小 (最 多 254 台 主机 )〉 ， 这 对 于 ISP 是 个 限制 。 当 然 ， 
我 们 可 以 向 需要 包含 超过 254 台 主机 的 网 络 所 有 者 分 配 多 个 C 类 地 址 ， 但 
ee 
混乱。 

本 章 前 面 提 到 ， 地 址 分 类 系统 相对 而 言 不 够 灵活 ， 需 要 使 用 子 网 划 
分 系统 来 更 细致 地 控制 地 址 空间 。 而 无 类 别 域 间 路 由 (CIDR) 在 路 由 
表 中 定义 地 址 块 时 更 容易 修改 ， 更 具有 灵活 性 。 这 种 技术 不 依赖 于 预定 
义 的 8 位 、16 位 或 24 位 网 络 ID， 而 是 使 用 一 个 名 为 CIDR 前 级 的 值 指 定 地 
址 中 作为 网 络 D 的 位 数 。 这 个 前 级 有 时 也 被 称 为 变 长 子 网 撼 码 
(VLSM) 。 这 个 前 级 可 以 位 于 地 址 空间 的 任何 位 置 ， 让 管理 者 能 够 以 








更 灵活 的 方式 定义 子 网 ， 以 简便 的 形式 指定 地 址 中 网 络 ID 部 分 与 主机 ID 
部 分 。CIDR 标 记 使 用 一 个 和 斜 线 (/) 分 隔 符 ， 后 面 跟 一 个 十 进 制 数值 来 
表示 地 址 中 网 络 部 分 所 占 的 位 数 。 例 如 ， 在 CIDR 地 址 
205.123.196.183/25 中 ，/25 表 示 地 址 中 25 位 用 于 网 络 ID， 相 应 的 子 网 掩 
码 就 是 255.255.255.128。 

CIDR 前 级 就 是 表明 了 IP 地 址 中 前 面 的 多 少 位 对 于 网 络 里 的 全 部 主 
机 来 说 是 一 样 的 。CIDR 一 个 强大 的 特性 是 是 不 仅 能 够 对 网 络 划 分 子 
网 ， 还 让 ISP 或 管理 员 能 够 把 多 个 连续 C 类 网 络 聚 合 或 组 合 为 一 个 实 
体 。 这 种 特性 极 大 地 简化 了 网 际 路 由 表 ， 从 而 延长 了 IPv4 的 生命 。 出 租 
一 系列 连续 C 类 网 络 的 ISP 只 需要 一 个 条 目 就 可 以 定义 全 部 网 络 。 在 这 种 
情况 下 ，CIDR 前 级 发 挥 了 所 谓 超 网 掩 码 的 作用 。 例 如 ， 一 个 ISP 可 以 
分 配 204.21.128.0 (11001100000101 011000000000000000) 一 
204.21.255.255 〈11001100000101011111111111111111) 的 全 部 C 类 地 
i 

这 些 网 络 地 址 的 前 17 位 是 一 样 的 ， 因 此 ， 超 网 掩 码 是 
11111111111111111000000000000000， 相 应 的 点 分 十 进 制 形式 是 
255.255.128.0。 

超 网 掩 码 中 0 对 应 的 位 确定 了 地 址 块 的 范围 ， 因 此 ， 支 持 CIDR 的 路 
由 表 可 以 只 使 用 一 个 CIDR 条 目 204.21.128.0/17 来 引用 这 段 地址 的 全 部 范 
围 。 该 条 目 适 用 于 与 地 址 204.21.128.0 的 前 17 位 匹配 的 所 有 地 址 。 


5.6 小 结 


本 章 讲述 了 如 何 使 用 子 网 划分 技术 来 划分 TCP/AP 地 址 空间 。 子 网 划 
分 技术 为 耻 地 址 体系 添加 了 一 个 中 间 层 ， 提 供 了 在 网 络 ID 之 下 对 地 址 空 
间 中 的 IP 地 址 进行 分 组 的 一 种 方式 。 对 于 使 用 路 由 器 把 网 络 分 隔 为 多 个 
物理 网 段 的 网 络 来 说 ， 子 网 划分 是 一 个 常见 的 特性 。 

无 类 别 域 件 路 由 (CIDR) 是 一 种 比较 新 的 技术 ， 不 需要 使 用 地 址 


分 类 系统 就 可 以 对 地 址 空间 进行 灵活 的 划分 。 
5.7 问 与 答 


问 : B 类 网 络 在 使 用 255.255.0.0 作 为 手 码 时 ， 子 网 ID 占据 了 多 少 
位 ? 
答 : 0 位 〈 不 存在 子 网 ID 字段 ) 。 捧 码 255.255.0.0 是 B 类 网 络 的 默认 
设置 ， 全 部 16 个 掩 码 位 都 是 用 于 网 络 ID， 没 有 用 于 子 网 划分 的 。 
问 : 一 个 网 络 管理 员 计 算出 他 需要 21 位 掩 码 ， 他 应 该 使 用 什么 子 
网 掩 码 ? 


答 : 21 位 掩 码 : 11111111111111111111100000000000， 也 就 是 两 个 
全 1 八 位 组 再 加 5 位 。 全 1 的 八 位 组 对 应 于 255， 前 5 位 为 1 的 八 位 组 等 于 
128+64+32+16+8=248， 所 以 这 个 掩 码 是 255.255.248.0。 

问 : 公司 有 一 个 C 类 地 址 ， 员 工分 布 于 10 个 位 置 ， 每 个 位 置 的 员 
0 
和 需要? 

答 : 子 网 掩 码 是 255.255.255.240， 主 机 ID 使 用 4 位 ， 足 够 为 每 个 用 
户 提 供 不 同 的 地 址 。 

问 : Billy 想 在 一 个 A 类 网 络 上 使 用 占据 3 位 的 子 网 ID， 相 应 的 子 网 
掩 码 是 什么 ? 

答 : A 类 网 络 意味 着 IP 地 址 中 第 一 个 八 位 组 是 属于 网 络 ID 的 ， 它 的 
掩 码 就 是 255。 第 二 个 八 位 组 里 的 3 位 子 网 ID 对 应 于 128+64+32=224， 所 
以 子 网 掩 码 是 255.224.0.0。 

问 : 中 CIDR 范 围 212.100.192.0/20 中 ， 分 配 了 什么 IP 地 址 ? 

答 : 超 网 参数 /20 表 示 IP 地 址 的 前 20 位 是 不 变 的 ， 其 余部 分 是 可 变 
的 。 这 个 初始 地 址 的 三 进 制 形式 是 : 

11010100.01100100.11000000.00000000 

地 址 的 前 20 位 必须 与 这 个 初始 地 址 相同 ， 其 他 部 分 只 可 以 变化 。 
下面 是 可 变 部 分 的 男 一 个 极限 值 (全 1 蔡 换 全 0) : 

11010100.01100100.11001111.11111111 

所 以 地 址 范围 是 212.100.192.0 一 212.100.207.255。 


5.8 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问 题 则 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 则 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问 题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 

















5.8.1 问题 

1. 子 网 ID 的 位 来 自 哪 里 ? 

2. 为 什么 子 网 划分 技术 如 今 没 有 过 去 那么 重要 ? 

3. 无 类 别 域 间 路 由 中 的 “无 类 别 * 指 的 是 什么 ? 

4. 在 /26 的 网 络 中 ， 可 以 有 多 少 台 主机 ? 

5. 将 几 个 较 小 的 网 络 合 并 为 一 个 较 大 网 络 范 围 的 技术 是 什么 ? 


5.8.2 练习 
1. 如 果 把 网 络 地 址 180.4.0.0~180.7.255.255 合并 为 一 个 网 络 地 址 ， 


请 计算 CIDR 网 络 地 址 。 
2. 如 果子 网 192.100.50.192 的 子 网 掩 码 为 255.255.255.224， 则 该 子 
网 可 以 有 多 少 台 主机 ? 
3. 在 练习 2 中 ， 在 子 网 掩 码 为 255.255.255.224， 则 可 以 产生 多 少 个 
子 网 ? 
4. 在 网 络 195.50.100.0/23 中 ， 确 定 表示 主机 的 最 小 IP 地 址 。 
5. 在 练习 4 中 ， 确 定 表示 主机 的 最 大 IP 地 址 。 





5.9 关键 术语 
复习 下 列 关 键 术 语 : 
gs 无 类 别 域 间 路 由 。 这 种 技术 可 以 让 一 个 网 络 ID 块 被 当 作 
一 人 个 答 疏 。 


> 子 网 : 对 TCP/P 网 络 ID 定义 的 地 址 空间 进行 逻辑 划分 。 

> 子 网 掩 码 : 一 个 32 位 的 二 进 制 值 ， 用 于 指定 下地 址 中 的 一 部 分 
作为 子 网 ID。 

> 超 网 掩 码 : 一 个 32 位 的 二 进 制 值 ， 能 够 把 多 个 连续 网 络 ID 聚合 
为 一 个 整体 。 


第 6 将 全 


本 章 介 绍 如 下 内 容 : 

> 面 癌 连接 的 协议 和 无 连接 的 协议 ; 

> 端口 和 套 接 字 ; 

> TCP: 

> UDP。 

传输 层 为 网 络 应 用 程序 提供 了 一 个 接口 ， 并 且 能 够 对 网 络 传输 提供 
了 可 选 的 错误 检测 、 流 量 控 制 和 验证 功能 。 本 章 将 介绍 传输 层 的 一 些 重 
要 概念 以 及 TCP 和 UDP 协议 。 

学 完 本 章 后 ， 你 可 以 : 

> 掌握 传输 层 的 基本 功能 ; 

> 知道 面 问 连接 的 协议 与 无 连接 的 协议 之 间 的 区 别 ; 

知道 传输 层 协议 如 何 通过 端口 和 套 接 字 为 网 络 应 用 程序 提供 接 


> 了 解 TCP 与 UDP 之 间 的 区 别 ; 
> 识别 构成 TCP 报 头 的 字段 ; 


> 知道 TCP 如 何 打 开 和 关闭 一 个 连接 ; 
> 知道 TCP 如 何 顺 序 发 送 和 确认 数据 传输 ; 
> 识别 构成 UDP 报 头 的 4 个 字段 。 





在 第 4 章 和 第 5 章 已 经 提 到 ，TCP/PP 传 输 层 包含 很 多 有 用 的 协议 ， 能 
够 提供 数据 在 网 络 传输 所 需 的 必要 寻 址 信息 。 但 寻 址 和 路 由 只 是 传输 层 
的 部 分 功能 。TCP/P 的 开发 者 知道 他 们 需要 在 网 际 屋 上 添加 为 外 一 层 ， 
并 通过 这 一 层 提供 的 额外 必要 特性 来 使 用 IP。 传 输 层 协议 需要 提供 以 下 








> 为 网 络 应 用 程序 提供 接口 : 也 就 是 为 应 用 程序 提供 访问 网 络 的 
途径。 设计 者 希望 不 仅 能 够 回 目 的 计算 机 传递 数据 ， 还 能 够 癌 目的 计算 
机 上 的 特定 程序 传递 数据 。 

> 多 路 复 用 /多 路 分 解 机 制 : 这 里 的 多 路 复 用 表示 从 不 同 的 应 用 程 
序 和 计算 机 接收 数据 ， 再 把 数据 传递 到 目的 计算 机 上 的 接收 程序 。 换 名 
话说 ， 传 输 层 必须 能 够 同时 文 持 多 个 网 络 程 序 和 管理 传递 给 网 际 层 的 数 
气流 。 在 接收 顺 ， 传 输 层 必 须 能 够 从 网 际 层 接收 数据 ， 把 它 转 用 到 多 个 
程序 ， 这 种 功能 被 称 为 多 路 分 解 ， 它 可 以 让 一 台 计 算 机 同时 支持 多 个 网 
络 程序 ， 比 如 一 个 Web 浏览 器 、 一 个 E-mail 客 户 端 和 一 个 文件 共享 应 用 
程序 。 多 路 复 用 /多 路 分 解 的 另 一 个 作用 是 可 以 让 一 个 应 用 程序 同时 人 
持 与 多 人 台 计 算 机 的 连接 。 

> 错误 检测 、 流 量 控制 和 验证 : 协议 系统 需要 一 种 全 面 机制 来 确 
保 发 送 端 与 接收 端 之 间 的 数据 传输 。 

最 后 一 项 (错误 检测 、 流 量 控制 和 验证 ) 是 变化 最 多 的 。 质 量 保证 
通常 会 在 收益 与 代价 之 间 寻 找平 衡 。 精 细 的 质量 保证 系统 会 提高 传输 可 
靠 性 ， 但 需要 以 增加 网 络 流 量 和 处 理 时 间 为 代价 。 对 于 大 多 数 应 用 程序 
来 说 ， 这 种 额外 的 保证 并 不 值得 。 因 此 ， 传 输 层 提供 了 两 种 到 达 目 标 网 
络 的 方式 ， 它 们 都 具有 文 持 应 用 程序 所 必需 的 接口 和 多 路 复 用 /多 路 分 
解 功 能 ， 但 在 质量 保证 方面 所 采用 的 方法 有 很 大 人 不同， 如 下 所 示 。 

> 传输 控制 协议 (TCP〉: TCP 提供 了 完善 的 错误 控制 和 流量 控 
制 ， 能 够 确保 数据 正确 传输 ， 它 是 一 个 面 问 连接 的 协议 。 

> 用 户 数据 报 协议 CUDP) : UDP 只 提供 了 非常 基本 的 错误 检 
测 ， 用 于 不 需要 TCP 精 细 控 制 功能 的 场合 ， 它 是 一 个 无 连接 的 协议 。 

本 章 后 面 将 会 更 详细 地 介绍 面 同 连接 和 无 连接 的 协议 、TCP 和 


注意 ，OSI 中 的 传输 层 
































UDP 


0 0 
为 第 4 层 。 


6.2 传输 层 概念 


在 更 详细 地 讨论 TCP 和 UDP 之 前 ， 需 要 先 介绍 一 些 重要 概念 : 
> 面向 连接 的 协议 和 无 连接 的 协议 ; 

> 端口 和 套 接 字 ; 

> 多 路 复 用 /多 路 分 解 。 

这 些 里 要 概念 是 理解 传输 层 设计 的 垄 础 ， 下 面 来 分 别 介 绍 。 








为 了 针对 不 同情 况 提供 不 同 程度 的 质量 保证 传输 层 提供 了 两 种 不 
同 的 协议 原型 。 

> 面向 连接 的 协议 : 会 在 通信 计算 机 之 间 建 立 并 维护 一 个 连接 ， 
并 且 在 通信 过 程 中 监视 连接 的 状态 。 换 句 话 说， 通过 网 络 传输 的 每 个 数 
据 包 都 会 有 一 个 确认 ， 发 送 疹 计算 机 会 记录 状态 信息 来 确保 每 个 数据 包 
都 被 正确 无 误 地 接收 了 ， 并 且 在 需要 时 会 重 发 数据 。 当 数据 传输 结束 之 
后 ， 发 送 端 和 接收 并 计算 机 会 以 适当 方式 关闭 连接 。 

> 无 连接 的 协议 : 以 单 癌 方式 同 目 的 发 送 数据 报 ， 不 承担 通知 目 
的 计算 机 关于 数据 发 送 的 职责 。 目 的 计算 机 接收 到 数据 后 也 不 再 要 问 源 
计算 机 返回 状态 信息 。 

图 6.1 以 两 个 人 通话 的 方式 展示 了 面 癌 连接 的 通信 。 当 然 ， 其 中 并 
0 00 只 是 简单 地 解释 了 面 问 连接 协议 的 
阮 仿 








Hey, Bill. Are you listening? 
| have to tell you something. 






Yeah, I'm listening, Fred. 


Yeah, | got that part, 


That's it, Bill. That's all 
| have to say. 





图 6.1 面向 连接 的 通信 
图 6.2 展 示 了 以 无 连接 协议 传输 相同 数据 的 情形 。 









Hey, Bill. Able was | 
ere | saw Elba. 





图 6.2 无 连接 的 通信 


ll 


6.2.2 端口 和 套 接 字 

传输 层 充当 了 网 络 应 用 程序 与 网 络 之 间 的 接口 ， 并 且 能 够 把 网 络 数 
据 传 递 给 特定 的 应 用 程序 。 在 TCP/IP 系 统 中 ， 应 用 程序 可 以 使 用 端口 号 
通过 TCP 或 UDP 指定 数据 目的 地 。 端 口 是 一 个 预定 义 的 内 部 地 址 ， 充 当 
从 应 用 程序 到 传输 层 或 是 从 传输 层 到 应 用 程序 之 间 的 通路 〈 见 图 
ee 
下 厅 5 





图 6.3 端口 地 址 将 数据 传输 到 特定 的 应 用 程序 


进一步 观察 传输 层 这 种 与 应 用 程序 相关 的 寻 址 体制 ， 就 会 发 现 TCP 
和 UDP 数 据 实际 是 被 发 送 到 一 个 套 接 字 上 的 。 套 接 字 是 一 个 由 IP 地 址 和 
端口 号 组 成 的 地 址 。 例 如 ， 套 接 字 地 址 111.121.131.141.21 指 向 IP 地 址 为 
111.121.131.141 的 计算 机 的 端口 21。 

图 6.4 所 示 为 使 用 TCP 的 计算 机 在 建立 连接 时 如 何 交 换 套 接 字 信息 。 









请 求 连 接 到 目的 端口 23 


源 端口 = 2500 


目的 端口 = 2500 
源 端口 -23 


图 6.4 交换 源 和 目的 套 接 字 信 息 


下 面 的 例子 展示 了 一 台 计 算 机 如 何 通 过 套 接 字 访问 目的 计算 机 上 的 
一 个 应 用 程序 。 

1. 计算 机 A 通过 一 个 熟知 的 端口 向 计算 机 B 上 的 一 个 应 用 程序 发 起 
一 个 连接 。 熟 知 端口 是 由 互联 网 数字 分 配 机 构 (IANA) 分 配给 特定 程 
序 的 端口 。 表 6.1 和 表 6.2 列 出 了 一 些 熟 知 的 TCP 和 UDP 端口 。 熟 知 的 端 
口 与 IP 地 址 组 合 之 后 就 构成 了 计算 机 A 的 目的 套 接 字 。 连 接 请 求 包含 着 
一 个 数据 字段 ， 告 诉 计算 机 B 使 用 什么 套 接 字 癌 计算 机 A 返回 信息 ， 这 
也 就 是 计算 机 A 的 源 套 接 字 地 址 。 

2. 计算 机 B 通 过 熟知 端口 接收 到 来 自 计 算 机 A 的 请 求 ， 癌 作为 计算 
机 A 源 地 址 的 套 接 字 发 送 一 个 响应 。 这 个 套 接 字 就 成 为 计算 机 B 上 的 应 
用 程序 同 计 算 机 A 上 的 应 用 程序 发 送 消 恩 的 目的 地 址 。 











本 章 后 面 将 会 讲解 如 何必 起 一 个 TCP 连 接 。 


表 6.1 熟知 的 TCP 端 口 







简要 描述 
TCP 端口 服务 多 路 复 用 器 


管理 工具 














续 表 


服务 
netstat 
qotd 
chargen 
ftp-data 
ftp 

ssh 
telnet 
smtp 
new-fe 
time 
name 
domain 
gopher 
finger 
http 
link 
supdup 
pop2 
pop3 
auth 
uucp-path 
nntp 


nbsession 


服务 
echo 
discard 
systat 
daytime 
qotd 
chargen 
time 
domain 
bootps 
bootpe 
tftp 


TCP 端口 号 
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简要 描述 

网 络 状态 

每 日 引用 

字符 生成 器 
文件 传输 协议 数据 
文件 传输 协议 控制 
安全 Shell 

终端 网 络 连接 
简单 邮件 传输 协议 
NSW 用 户 系统 

时 间 服 务 程序 
主机 名 称 服务 程序 
域名 服务 程序 (DNS) 
Gopher 服务 
Finger 

WWW 服务 

TTY 链接 
SUPDUP 协议 
邮局 协议 2 

邮局 协议 3 

身份 验证 服务 
UUCP 路 径 服务 
USENET 网 络 新 闻 传输 协议 
NetBIOS 会 话 服务 


表 6.2 熟知 的 UDP 端口 


UL 


和 | 好 党 S| ”| 息 
号 
ED 
DO 
二 


描述 

回 显 

抛弃 或 空 

用 户 

时 间 

每 日 引用 

字符 生成 器 

时 间 服 务 程序 

域名 服务 程序 (DNS) 

引导 程序 协议 服务 /DHCP 
引导 程序 协议 客户 端 /DHCP 
简单 文件 传输 协议 








网 络 时 间 服 务 
续 表 


服务 UDP 端口 号 描述 
NetBIOS 名 称 


snmp 上 简单 网 络 管理 协议 
: | 


简单 网 络 管理 协议 trap 


6.2.3 %SE /多 路 分 解 

套 接 字 寻 址 系统 使 得 TCP 和 UDP 能 够 执行 传输 层 尺 一 个 重要 任务 : 
多 路 复 用 和 多 路 分 解 。 多 路 复 用 是 指 把 多 个 来 源 的 数据 导 同 一 个 输出 ， 
而 多 路 分 解 是 把 从 一 个 来 源 接收 的 数据 发 送 到 多 个 输出 《〈 见 图 6.5) 。 


多 路 复 用 多 路 分 解 
图 6.5 多 路 复 用 与 多 路 分 解 


多 路 传输 /多 路 分 解 让 TCP/IP 协 议 栈 较 低 层 的 协议 不 必 关 心 哪个 程 
序 在 传输 数据 。 与 应 用 程序 相关 的 操作 都 由 传输 层 完 成 了 ， 数 据 通 过 一 
个 与 应 用 程序 无 关 的 管道 在 传输 层 与 网 际 层 之 间 传 递 。 

多 路 复 用 和 多 路 分 解 的 关键 就 在 于 套 接 字 地 址 。 套 接 字 地 址 包含 了 
IP 地 址 与 端口 号 ， 为 特定 计算 机 上 的 特定 应 用 程序 提供 了 一 个 唯一 的 标 
识 。 参 见 图 6.6 中 的 FTP 服 务 器 。 所 有 客户 端 计 算 机 使 用 熟知 的 TCP 端 口 
21 连 接 到 FTP 服 务 器 ， 但 针对 每 台 个 人 计算 机 的 目的 套 接 字 是 不 同 的 。 
类 似 地 ， 运行 于 这 台 FTP 服 务 器 上 全 各 网 络 应 用 程序 都 使 用 服务 器 的 下 
地 址 ， 但 只 有 FTP 服务 程序 使 用 由 也 地 址 和 TCP 端 口号 21 组 成 的 套 接 字 


地 址 。 
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: 按 #1 
源 111.121.131.135:20:00 


目的 111.121.131.142: 21 


连接 #3 
源 111.121.131.142:2500 


目的 111.121.131.147:23 















连接 #2 违 报 和 4 
源 111.121.131.136:2000 源 111.121.131.142:2600 


目的 111.121.131.142:21 目的 111.121.131.145:23 
图 6.6 套 接 字 地 址 唯一 地 识别 特定 服务 器 上 的 应 用 程序 
6.3 理解 TCP 和 UDP 


本 章 前 面 提 到 ，TCP 是 个 面向 连 | 提供 了 全 面 的 错误 控制 
和 流量 控制 。UDP 是 个 无 连接 协议 ， 错 误 控制 也 简单 得 多 。 可 以 这 样 
说 ，TCP 是 为 了 可 靠 性 ， 而 UDP 是 为 了 速度 。 必 须要 支持 交互 会 话 的 
应 用 程序 ， 比 如 Telnet 和 FTP， 就 会 使 用 TCP。 而 自己 实现 错误 检测 或 不 

需要 过 多 错误 控制 的 应 用 程序 会 倾向 于 使 用 UDP。 

软件 开发 人 员 在 设计 网 络 应 用 程序 时 可 以 选择 使 用 TCP 或 UDP 作 
为 传输 协议 。UDP 的 控制 机 制 虽 然 比较 简单 ， 但 这 并 不 是 它 的 缺点 。 首 
先 ， 较 简单 的 质量 控制 并 不 一 定 意味 着 低 质量 。 对 于 大 多 数 应 用 程序 来 
说 ，TCP 提供 的 错误 检测 与 控制 是 完全 没有 必要 的 。 在 一 些 需 要 和 ee 
制 和 流量 控制 的 情况 下 ， 有 些 开 发 人 员 更 愿意 在 应 用 程序 本 身 内 提供 这 
此 控制 功能 ， 从 而 可 以 祖 据 实际 需 贫 进行 控制 ， 并 借用 较 简 单 的 UDP 进 


























行 网 络 访问 。 例 如 ， 应 用 层 的 远程 过 程 调 用 (RPC) 协议 能 够 文 持 复杂 
的 应 用 程序 ， 但 RPC 开 发 人 员 有 时 倾向 于 在 传输 层 使 用 UDP， 并 且 利 用 
应 用 程序 提供 错误 控制 和 流量 控制 ， 而 不 是 使 用 速度 较 慢 的 TCP 连 接 。 

6.3.1 TCP: 面向 连 接 的 传输 协议 
前 面 已 经 介绍 过 TCP 使 用 面 同 连接 的 方法 进行 通信 ， 它 还 包括 以 下 
重要 特性 。 

> 面 癌 流 的 处 理 : TCP 以 流 的 方式 处 理 数 据 。 换 人 句 话说 ，TCP 可 
以 一 个 字 节 一 个 字 节 地 接收 数据 ， 而 不 是 一 次 接收 一 个 预定 义 格式 的 数 
据 块 。TCP 把 接收 到 的 数据 组 成 长 度 不 定 的 段 ， 再 传递 到 网 际 层 。 

> 重新 排序 : 如 果 数 据 以 错误 的 顺序 到 达 目 的 ，TCP 模 块 能 够 对 
数据 重新 排序 来 恢复 原始 顺序 。 

> 流量 控制 : TCP 的 流量 控制 特性 能 够 确保 数据 传输 不 会 超过 目 
的 计算 机 接收 数据 的 能 力 。 由 于 现实 世界 里 会 有 各 种 不 同 的 应 用 环境 ， 
OO 
常 重 要 的 。 

> 优先 级 与 安全 : 国防 部 对 TCP 的 规范 要 求 可 以 为 TCP 连 接 设 置 
I 
级 特性 。 

> 适当 的 关闭 : TCP 像 重视 建立 连接 一 样 重视 关闭 连接 的 工作 ， 
以 确保 在 连接 被 关闭 之 前 ， 所 有 的 数据 段 都 被 发 送 和 接收 了 。 

仔细 观察 TCP， 束 会 发 现 它 是 一 个 由 通告 和 确认 组 成 的 复杂 系统 ， 
用 以 支持 TCP 面 同 连 接 的 功能 。 下 面 的 小 节 将 详细 介绍 TCP 数 据 格式 、 
TCP 数 据 传输 和 TCP 连 接 。 其 中 涉及 的 技术 内 容 会 展示 TCP 的 复杂 性 ， 
也 会 展示 出 协议 不 仅仅 是 数据 格式 ， 它 还 是 一 个 由 交互 处 理 和 过 程 组 成 
的 完整 系统 ， 用 以 完成 特定 的 任务 。 

在 第 2 章 讲 到 ， 像 TCP/IP 这 样 的 分 层 协议 系统 在 发 送 并 计 算 机 上 的 
某 一 层 与 接收 端 计算 机 上 相应 的 层 之 间 进 行 信息 交换 ， 换 句 话 说 ， 发 送 
端 计 算 机 上 的 网 络 访问 层 与 接收 端 计算 机 上 的 网 络 访问 层 进行 通信 ， 发 
送 并 计算 机 上 的 网 际 层 与 接收 端 计算 机 上 的 网 际 层 通 信 ， 以 此 类 推 。 

TCP 软 件 与 建立 连接 (或 想 建 立 连 接 ) 的 计算 机 上 的 TCP 软 件 进 行 
通信 。 在 对 TCP 的 讨论 中 , “计算 机 A 与 计算 机 B 建 立 一 个 连接 ”实际 上 是 
指 计算 机 A 上 的 TCP 软 件 与 计算 机 B 上 的 TCP 软 件 建立 了 一 个 连接 ， 而 双 
方 的 TCP 软 件 都 是 为 本 地 应 用 程序 提供 服务 的 。 这 与 第 1 章 中 介绍 的 端 
节点 验证 略 有 不 同 。 

端 节 点 负责 在 TCP/IP 网 络 中 检验 通信 情况 〈 端 节点 是 真正 需要 进 
行 通信 的 节点 ， 而 中 间 节 点 只 是 负责 转发 消息 ) 。 在 一 个 典型 的 网 络 环 


























境 中 〈 见 图 6.7) ， 数 据 从 源 子 网 经 过 路 由 器 传递 到 目的 子 网 。 这 些 路 
由 露 通 种 工作 于 网 际 层 ， 也 就 是 传输 层 下 面 的 层 。 这 其 中 的 重点 在 于 路 
由 器 不 关心 传输 层 的 信息 ， 它 们 只 是 把 传输 层 数 据 当 作 卫 数据 报 的 内 容 
进行 传递 。 封 装 在 TCP 分 段 中 的 这 些 控制 和 检验 信息 只 对 目的 计算 机 上 
的 TCP 软 件 有 意义 。 这 种 工作 方式 能 够 加 快 TCP/IP 网 络 之 间 的 路 由 过 程 
(因为 路 由 右 不 必 参 与 TCP 细 致 的 质量 保证 ) ， 同 时 让 TCP 能 够 满足 由 
端 节点 进行 检验 的 要 求 。 


计算 机 A 计算 机 B 


应 用 层 路 由 器 #1 路 由 器 加 应 用 层 
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图 6.7 路 由 需 转 发 但 不 处 理 传输 层 数 据 


1. TCP 数 据 格 式 
es A 0 a 
能 的 多 样 性 。 

TCP 数 据 格式 中 的 字段 如 下 所 示 。 在 学 习 了 后 面 关 于 TCP 连 接 的 内 
容 之 后 ， 会 对 这 些 字 上段 的 作用 有 更 好 的 了 解 。 

> 源 端 口 〈16 位 ) : 分 配给 源 计算 机 上 的 应 用 程序 的 端口 号 。 

> 目的 端口 〈16 位 ) : 分 配给 目的 计算 机 上 的 应 用 程序 的 端口 





呈 I 


oo 

> 序列 号 〈32 位 ) : 当 SYN 标 记 不 为 1 时 ， 这 是 当前 数据 分 段 第 一 
个 字 节 的 序列 号 ， 如 果 SYN 的 值 是 1， 这 个 字段 的 值 就 是 初始 序列 值 
CGISN ) ， 用 于 对 序列 号 进行 同步 ， 这 时 第 一 个 字 节 的 序列 号 比 这 个 字 
段 的 值 大 1《〈 也 就 是 ISN 加 1) 。 

> 确认 号 (32 位 ) : 用 于 确认 已 经 接收 到 的 数据 分 段 ， 其 值 是 接 








et 也 就 是 下 一 个 接收 到 的 字 厄 的 序列 
号 加 1。 

> 数据 偏 移 (4 位 ) : 这 个 字段 表示 报头 的 长 度 ， 也 就 是 告诉 接 
收 端 的 TCP 软件 数据 从 何 开 始 。 这 个 值 的 单位 是 32 位 的 字 。 

> 保留 (6 位 ) : 保留 字段 ， 为 TCP 将 来 的 发 展 预 留 空间 ， 目 前 必 
须 全 部 是 0。 
Re > 控制 标记 (分 别 占 用 1 位 ，: 控制 标记 用 于 表示 数据 分 段 的 特殊 

> URG: 为 1 时 表示 当前 数据 分 段 是 紧急 的 ， 也 会 让 “紧急 指针 ” 字 
段 的 值 有 意义 。 

> ACK: 为 1 时 表示 “确认 号 ?字段 是 有 意义 的 。 

> PSH: 为 1 时 让 TCP 软 件 把 目前 收 到 的 全 部 数据 都 通过 管道 传递 
给 接收 应 用 程序 。 

> RST: 为 1 时 会 重 置 连接 。 

> SYN: 为 1 时 表示 序列 号 将 被 同步 ， 说 明 这 是 一 个 连接 的 开始 。 
请 参见 稍 后 介绍 的 三 次 握手 。 

> FIN: 为 1 时 表示 发 送 端 计算 机 已 经 没有 数据 需要 发 送 了 。 这 个 
标记 用 于 关闭 一 个 连接 。 




















数据 (长 度 可 变 ) 


-一 一 一 一 一 一 32 位 一 一 一 一 一 一 ”| 


图 6.8 TCP 数 据 格式 


> 窗口 (16 位) : 用 于 流量 控制 的 参数 。 它 定义 了 发 送 端 计算 机 
的 发 送 序列 号 可 以 超过 最 后 一 个 已 确认 序列 号 的 数量 。 也 就 是 说 ， 发 送 
方 不 必 等 待 每 个 数据 段 被 确认 接收 之 后 才 发 送 下 一 个 数据 分 段 ， 人 允许 已 
0 定 差别 ， 但 必须 在 适当 范 
制 之 内 。 

> 校 验 和 “(16 位 ) : 用 于 检验 数据 分 段 的 完整 性 。 接 收 端 计算 机 
会 根据 接收 到 的 数据 分 段 计算 校 验 和 ， 并 且 把 结构 与 这 个 字段 的 值 进行 
比较 。TCP 和 UDP 在 计算 校 验 和 时 包含 一 个 具有 IP 地 址 的 伪 报 头 。 

> 紧急 指针 (16 位，: 这 是 一 个 偏 移 量 指针 ， 指 向 标记 紧急 信息 
开始 的 序列 号 。 

选项 : 指定 一 些 可 选 设置 中 的 某 一 项 。 
> 填充 : 额外 填充 的 0〈 根 据 需 要 ) ， 以 确保 数据 从 32 位 字 的 边界 
开始 。 

> 数据 : 数据 分 段 中 的 数据 。 

TCP 需要 所 有 的 这 些 字 段 ， 以 成 功 地 管理 、 确 认 和 检验 网 络 传输 。 











人 


2. TCP 连 接 

TCP 的 一 切 操作 都 是 在 一 个 连接 上 下 文 的 环境 中 完成 的 。TCP 通过 
0 
I 关闭 。 

本 章 前 面 讲 到 ，TCP 的 功能 之 一 是 为 应 用 程序 提供 访问 网 络 的 接 
口 。 这 个 接口 是 通过 TCP 端口 提供 的 ， 而 为 了 通过 端口 提供 连接 ， 必 须 
打开 TCP 与 应 用 程序 的 接口 。TCP 支 持 以 下 两 种 打开 状态 。 

> 被 动 打 开 : 某 个 应 用 程序 进程 通知 TCP 准 备 通 过 TCP 端 口 接收 连 
I 


> 主动 打开 : 程序 要 求 TCP 发 起 与 男 一 台 计 算 机 (处 于 被 动 打 开 
状态 ) 的 连接 ， 这 就 是 主动 打开 状态 (实际 上 ，TCP 可 以 对 一 个 处 于 主 
动 打 开 状 态 的 计算 机 初 发 起 连接 ， 以 解决 两 台 计 算 机 可 能 同时 尝试 建立 
连接 的 问题 ) 。 

在 通常 情况 下 ， 想 接收 连接 的 应 用 程序 〈 比 如 FTP 服务 器 ) 会 把 
自身 及 其 TCP 端口 置 于 被 动 打开 状态 。 在 客户 端 计算 机 上 ，EFTP 客 户 端 
的 TCP 状 态 一 般 是 关闭 的 ， 直 到 用 户 发 起 一 个 从 FTP 客 户 端 到 FTP 服 务 
器 的 连接 ， 这 对 于 客户 端 来 说 就 是 主动 打开 。 处 于 主动 打开 状态 的 计算 
机 《比如 客户 端 ) 上 的 TCP 软 件 会 开始 一 些 用 于 建立 连接 的 信息 交换 ， 
这 种 信息 交换 被 称 为 “三 次 握手 >， 稍 后 将 详细 介绍 。 

客户 端 是 指向 网 络 中 的 其 他 计算 机 请 求 或 接收 服务 的 计算 机 。 

服务 器 是 指向 网 络 中 其 他 计算 机 提供 服务 的 计算 机 。 

TCP 发 送 的 数据 分 段 的 长 度 是 不 定 的 。 在 一 个 数据 分 段 内 ， 每 字 节 
数据 都 被 分 配 一 个 序列 号 。 接 收 端 计 算 机 必须 为 接收 到 的 每 个 字 节 数据 
都 发 送 一 个 确认 信号 。 因 此 ，TCP 通 信 是 一 种 传输 与 确认 的 系统 。TCP 
报头 中 的 “序列 号 ”和 “确认 号 ?字段 〈 见 前 面 小 节 的 介绍 ) 让 通信 的 TCP 
软件 能 够 定期 更 新 传输 的 状态 。 

实际 上 ， 数 据 分 段 中 并 不 是 为 每 个 字 节 都 单独 编 了 一 个 序列 号 ， 而 
是 在 报头 的 “序列 号 ?字段 指定 了 数据 分 段 第 一 个 字 节 的 序列 号 。 

这 个 规则 有 一 个 例外 。 如 果 数 据 分 段 是 连接 初期 使 用 的 , “序列 
号 ”字段 里 包含 的 是 ISN， 它 的 值 比 数据 分 段 中 第 一 个 字 节 的 序列 号 小 
1 (也 就 是 说 ， 第 一 个 字 节 的 序列 号 是 ISN 加 1) 。 

如 果 数 据 分 段 被 成 功 接收 ， 接 收 端 计算 机 会 利用 “人 确认 号 ”字段 告诉 
发 送 端 计 算 机 它 接收 到 哪个 字 节 。 在 确认 消息 中 , “确认 号 ?字段 的 值 是 
已 接收 的 最 后 一 个 序列 号 加 1。 换 句 话 说, “确认 号 ?字段 中 的 值 是 计算 























机 准备 接收 的 下 一 个 序列 号 。 

如 果 发 送 端 计算 机 没有 在 指定 时 间 内 收 到 确认 消息 ， 它 会 从 已 经 得 
到 确认 的 下 一 字 节 重新 发 送 数 据 。 

3; 建 水 连接 

为 了 让 序列 /确认 系统 正常 工作 ， 计 算 机 必须 对 序列 号 进行 同步 。 
换 名 话说， 计算 机 B 必 须知 道 计算 机 A 的 初始 序列 号 (ISN) ， 计 算 机 A 
也 必须 知道 计算 机 也 使 用 什么 ISN 开 始 传输 数据 。 

这 个 序列 号 同步 的 过 程 被 称 为 三 次 握手 。 三 次 握手 总 是 发 生 在 TCP 
连接 建立 的 初期 ， 其 步骤 如 下 : 

1. 计算 机 A 发 送 一 个 数据 分 段 ， 其 中 的 参数 是 : 

SYN=1 

ACK=0 

序列 号 二 XX(X 是 计算 机 A 的 ISN) 

处 于 主动 打开 状态 的 计算 机 (计算 机 A〉 发 送 一 个 数据 分 段 ， 其 中 
的 SYN 为 1，ACK 为 0。SYN 是 同步 〈synchronize) 的 缩写 ， 它 表示 在 
尝试 建立 一 个 连接 。 第 一 个 数据 分 段 的 报头 中 还 包含 初始 序列 号 
GSN) ， 标 记 了 计算 机 将 传输 的 第 一 个 字 节 的 序列 号 。 也 就 是 说 ， 要 
发 送 给 计算 机 也 的 第 1 个 字 节 的 序列 号 是 ISN 加 1。 

2. 计算 机 B 接 收 到 计算 机 A 的 数据 分 段 ， 返 回 一 个 数据 分 段 ， 其 中 
的 参数 是 : 

SYN=1 仍然 在 同步 阶段 ) 

ACK=1 (“ 确 认 号 ?字段 将 包含 一 个 值 ) 

序列 号 =Y(Y 是 计算 机 B 的 ISN) 

确认 号 =M+1 (其 中 的 M 是 从 计算 机 A 接收 到 的 最 后 一 个 序列 写 〉。 
3. 计算 机 A 回 计算 机 了 发送 一 个 数据 分 段 ， 确 认 收 到 计算 机 了 B 的 ISN: 

SYN=0 

ACK=1 

序列 号 = 序列 中 下 一 个 号 码 (M+1) 

确认 写 =N+1 (其 中 N 是 从 计算 机 B 接 收 到 的 最 后 一 个 序列 号 ) 

在 这 三 次 握手 完成 之 后 ， 连 接 就 被 打开 了 ，TCP 模 块 就 利用 序列 和 
确信 机 制 发 送 和 接收 数据 。 

4. TCP 流 量 控制 

TCP 报 头 中 的 “窗口 "字段 为 连接 提供 了 一 种 流量 控制 机 制 ， 其 目的 
是 防止 发 送 端 计 算 机 不 要 发 送 得 太 快 ， 以 避免 接收 端 计算 机 来 不 及 处 理 
接收 到 的 数据 而 导致 数据 丢失 。TCP 使 用 的 流量 控制 方法 被 称 为 “滑动 
窗口 方法。 接收 端 计算 机 利用 “窗口 ?字段 〈 也 被 称 为 “缓存 大 小 ” 字 
段 ) 来 定义 一 个 超过 最 后 一 个 已 确认 序列 号 的 序列 号 “窗口 ?， 在 这 个 范 






































围 内 的 序列 号 才 允 许 发 送 端 计算 机 进行 发 送 。 发 送 端 计 算 机 在 没有 接收 
到 下 一 个 确认 消息 之 前 不 能 发 送 超过 这 个 窗口 的 序列 号 。 

5. 关闭 连接 

当 需 要 关闭 连接 时 ， 计 算 机 开始 关闭 过 程 。 计 算 机 A 发 送 一 个 数据 
分 段 ， 其 中 的 FIN 标 记 设 置 为 1。 之 后 应 用 程序 进入 “结束 一 一 等 待 
(fin-wait) ”状态 。 在 这 个 状态 下 ， 计 算 机 A 的 TCP 软 件 继续 接收 数据 
分 段 ， 并 处 理 已 经 在 序列 中 的 数据 分 段 ， 但 不 再 从 应 用 程序 接收 数据 
了 。 当 计算 机 B 接 收 到 FIN 数 据 分 段 时 ， 它 返回 对 FIN 的 确认 信息 ， 然 后 
发 送 剩 余 的 数据 分 段 ， 通 知 本 地 应 用 程序 接收 到 了 FIN 消 息 。 计 算 机 B 
向 计算 机 A 发 送 一 个 FIN 数 据 分 段 ， 计 算 机 A 会 返回 确认 消息 ， 连 接 就 被 
关闭 了 。 

6.3.2 UDP: 无 连接 传输 协 座 
UDP 比 TCP 简 单 得 多 ， 不 执行 上 一 小 节 介 绍 的 任何 操作 ， 但 还 是 有 
些 方 面 需要 说 明 。 

首先 ， 虽 然 UDP 有 时 被 认为 没有 错误 检验 功能 ， 但 实际 上 它 能 够 执 
行 基本 的 错误 检验 ， 因 此 ， 可 以 说 UDP 具有 有 限 的 错误 检验 功能 。UDP 
数据 报 中 包含 一 个 校 验 和 ， 接 收 端 计 算 机 可 以 利用 它 来 检验 数据 的 完整 
性 (一般 情况 下 ， 这 个 校 验 和 检查 是 可 选 的 ， 而 且 能 够 被 接收 端 计算 机 
禁用 以 加 快 对 接收 数据 的 处 理 ) 。UDP 数据 报 中 有 一 个 伪 报 头 ， 包 含 
了 数据 报 的 目的 地 址 ， 从 而 提供 了 发 现 数据 报错 误 传 输 的 手段 。 男 外 ， 
如 果 UDP 接 收 模块 接收 到 一 个 发 给 未 激活 或 未 定义 UDP 端口 的 数据 报 ， 
它 会 返回 一 个 ICMP 消 息 ， 通 知 源 计算 机 这 个 端口 是 不 可 到 达 的 。 

其 次 ，UDP 没 有 像 TCP 那 样 提供 数据 的 重新 排序 功能 。 在 大 型 网 络 
(比如 Internet) 上 ， 数 据 分 段 可 能 会 经 过 不 同 的 路 径 ， 由 于 路 由 器 组 
存 而 产生 明显 的 延 时 ， 这 时 重新 排序 功能 是 非常 有 意义 的 。 而 在 局 域 网 
上 ， 昌 然 UDP 没 有 重新 排序 功能 ， 但 一 般 不 会 导致 不 可 靠 的 接收 。 

注意 : UDP 和 广播 

UDP 的 简单 、 无 连接 设计 让 它 成 为 网 络 广播 所 使 用 的 协议 ， 广 播 
是 会 被 子 网 上 全 部 计算 机 接收 和 处 理 的 单个 消息 。 很 明显 ， 当 某 台 计算 
机 想 在 网 络 上 发 送 一 个 广播 时 ， 如 果 需 要 与 子 网 上 每 台 计 算 机 都 同时 建 
六 一 个 TCP 类 型 的 连接 ， 必 然 会 严重 影响 网 络 性 能 。 

UDP 协议 的 主要 用 途 是 把 数据 报 传递 给 应 用 层 。UDP 协议 的 功能 
简单 ， 其 报头 结构 也 很 简单 。 描 述 UDP 的 RFC 768 只 有 三 页 纸 。 前 面 已 
经 说 过 ，UDP 不 会 重新 传输 丢失 或 损坏 的 数据 报 、 重 新 排列 混乱 的 接收 
数据 、 消 除 重复 的 数据 报 、 确 认 数据 报 的 接收 、 建 立 或 是 终止 连接 。 它 
主要 是 在 程序 不 必 使 用 TCP 连 接 开 销 的 情况 下 发 送 和 接收 数据 报 的 一 种 























方式 。 如 果 上 述 功 能 对 于 应 用 程序 来 说 是 必需 的 ， 它 可 以 自己 提供 这 些 
功能 。 
UDP 头 包含 4 个 16 位 字段 ， 如 图 6.9 所 示 。 


< 一 一 32 位 一 一 "| 
报头 


数据 〈 长 度 可 变 ) 





图 6.9 UDP 数据 报 的 报 尖 和 数据 载 答 


下 面 是 关于 这 些 字段 的 介绍 。 

> 源 端 口 ， 这 个 字段 占据 UDP 报 头 的 前 16 位 ， 通 常 包含 发 送 数 据 
报 的 应 用 程序 所 使 用 的 UDP 端口 。 接 收 端的 应 用 程序 利用 这 个 字段 的 值 
作为 发 送 响应 的 目的 地 址 。 这 个 字段 是 可 选 的 ， 发 送 端的 应 用 程序 不 是 
一 定 要 把 自己 的 端口 写 在 这 个 字段 中 。 如 果 发 送 端的 应 用 程序 不 写 入 其 
端口 号 ， 就 应 该 把 这 个 字段 全 置 为 0。 显然 ， 如 果 这 个 字段 没有 包含 有 
效 的 端口 地 址 ， 接 收 端 的 应 用 程序 就 不 能 发 送 响应 。 然 而 有 时 这 可 能 
是 我 们 想 要 的 功能 ， 比 如 单 向 消息 就 不 需要 响应 。 

> 日 的 端口 : 这 16 位 字段 包含 的 端口 地 址 是 接收 端 计算 机 上 UDP 
软件 使 用 的 端口 。 

> 长 度 : 这 16 位 字段 以 字 节 为 单位 表示 UDP 数据 报 的 长 度 。 这 
个 长 度 包括 了 UDP 报头 和 UDP 数据 载荷 。 因 为 UDP 报头 的 长 度 是 8 字 
节 ， 所 以 这 个 值 最 小 是 8。 

> 校 验 和 : 这 16 位 字段 可 以 检验 数据 在 传输 过 程 中 是 否 损坏 。 校 
验 和 是 对 二 进 制 数据 串 执 行 特殊 计算 而 得 到 的 结果 。 对 于 UDP 来 说 ， 校 
验 和 是 基于 伪 报 头 、UDP 报 头 、UDP 数 据 和 填充 的 0 而 计算 的 。 源 计算 
机 生成 校 验 和 ， 目 的 计算 机 对 它 进行 检验 ， 让 客户 端 用 用 程序 能 够 判断 
数据 报 是 否 完整 。 

由 于 实际 的 UDP 报头 并 不 包含 源 了 地 址 或 目标 IP 地 址 ， 数 据 报 可 能 
会 被 传输 到 错误 的 计算 机 或 服务 。 校 验 和 使 用 的 部 分 数据 来 自 于 从 IP 报 
头 〈 被 称 为 伪 报 头 ) 提取 的 值 ， 这 个 伪 报 头 包 含 了 目的 卫 地 址 信息 ， 让 
接收 段 计 算 机 能 够 判断 UDP 数据 报 是 否 被 错误 交付 。 











注意 : 其 他 传输 层 协议 

还 有 其 他 一 些 协议 也 工作 于 传输 层 。 比 如 数据 报 拥 赛 控制 协议 
(DCCP) 和 流 控制 传输 协议 〈SCTP) 提供 了 传统 TCP 和 UDP 不 具备 的 
a 


6.4 防火 墙 和 端口 


防火 墙 是 一 个 系统 ， 保 护 局 域 网 不 被 来 自 Intemet 的 未 授权 用 户 攻 
击 。“ 防 火 墙 ” 一 词 已 经 成 为 Internet 领域 的 术语 ， 也 是 一 个 具有 多 种 不 
同 定义 的 术语 。 防 火 墙 具有 多 种 功能 ， 但 最 基本 的 特性 之 一 与 本 章 介 绍 
的 内 容 有 关 。 

这 个 基本 特性 就 是 阻 断 对 特定 TCP 和 UDP 端口 的 访问 。 实 际 
上 , “防火 墙 ”一 词 有 时 具有 动词 特性 ， 表 示 关 闭 对 端口 的 访问 。 

例如 ， 为 了 发 起 与 服务 器 的 安全 Shell (SSH) 会 话 ， 客 户 端 计 算 机 
必须 回 SSH 的 熟知 端口 《TCP 22) 发 送 一 个 请 求 〈 第 15 章 将 会 详细 讲解 
SSH) 。 如 果 担 心 外 部 入 侵 者 会 通过 SSH 访 问 我 们 的 服务 器 ， 一 种 方法 
是 配置 服务 器 来 停止 使 用 端口 22。 这 样 一 来 ， 服 务 器 就 关闭 了 SSH 的 应 
用 ， 但 也 禁止 了 局 域 网 中 的 合法 用 户 使 用 SSH 来 完成 正常 操作 。 另 一 种 
方法 是 安装 防火 载 ， 如 图 6.10 所 示 ， 并 且 配 置 防火 墙 来 阻 断 对 TCP 端 口 
22 的 访问 ， 这 样 做 的 结果 是 ， 局 域 网 中 的 用 户 能 够 在 防火 墙 之 内 自由 地 
访问 服务 器 上 的 TCP 端口 22， 而 局 域 网 之 外 的 网 络 用 户 就 不 能 访问 服 
务 器 的 TCP 端 口 22， 也 就 不 能 通过 SSH 访 问 服务 器 了 。 事 实 上 ， 这 时 
Internet 上 的 用 户 不 能 通过 SSH 访 问 局 域 网 中 的 任何 计算 机 。 

场景 中 使 用 SSH 的 TCP 端 口 22 作 为 示例 。 防 火 载 通常 会 阻 断 可 能 产 
生 安 全 威胁 的 任何 或 全 部 端口 。 网 络 管理 员 一 般 会 阻 断 对 全 部 端口 的 访 
问 ， 除 了 必需 的 端口 ， 比 如 处 理 E-mail 的 端口 。 在 连接 Internet 的 计算 机 
上 ， 比 如 Web 服 务 器 ， 通 常会 在 外 部 放置 一 个 防火 墙 ， 从 而 避免 对 这 台 
计算 机 的 访问 导致 对 局 域 网 的 非法 访问 。 





























SSH 服务 器 本 地 客户 六 
图 6.10 典型 的 防火 增 场 景 


注意 : 防火 墙 的 两 种 作用 
防火 墙 不 仅 能 阻止 外 部 用 户 访 问 网 络 内 部 的 服务 ， 也 能 阻止 内 部 用 
户 访问 网 络 外 部 的 服务 。 


6.5 小 结 


本 章 介 绍 了 TCP/IP 传输 层 的 一 些 关 键 特性 ， 包 括 面向 连接 和 无 连 
接 的 协议 、 多 路 复 用 和 多 路 分 解 、 端 口 和 套 接 字 。 本 章 还 介绍 了 TCP/IP 
传输 层 协议 : TCP 和 UDP， 描 述 了 它们 的 一 些 重要 特性 ， 包 括 TCP 如 何 
满足 TCP/IP 提 供 端 节点 检验 的 要 求 、TCP 数 据 格式 、 流 量 控制 和 错误 恢 
复 、 建 立 连接 的 三 次 握手 。 本 章 最 后 还 讨论 了 UDP 报头 的 格式 。 


6.6 问 与 答 


问 : 为 什么 多 路 复 用 和 多 路 分 解 是 必要 的 ? 

答 : 如 果 TCP/IP 不 具有 多 路 复 用 和 多 路 分 解 功能 ， 那 么 在 任 一 时 
刻 ， 只 有 一 个 应 用 程序 能 够 使 用 网 络 软件 ， 而 且 只 有 一 合计 算 机 能 够 连 
接 到 特定 的 应 用 程序 。 

问 : 既然 TCP 比 UDP 提供 了 更 好 的 质量 保证 ， 软 件 开 发 人 员 为 什 
么 还 会 使 用 UDP 作为 传输 协议 呢 ? 

答 : TCP 的 质量 保证 是 以 性 能 为 代价 的 。 如 果 TCP 提 供 的 错误 控制 














和 则 UDP 会 是 一 种 更 好 的 选择 ， 因 为 它 的 速度 更 


问 : 为 什么 像 Telnet 和 FTP 这 种 文 持 交互 会 话 的 应 用 程序 使 用 TCP 
而 不 是 UDP? 

答 : TCP 的 控制 和 恢复 特性 提供 了 交互 会 话 所 需 的 可 靠 连接 。 

问 : 网 络 管理 员 为 什么 需要 使 用 防火 墙 故 意 关 闭 Internet 对 TCP 或 
UDP 端 口 的 访问 ? 

答 : Internet 防 火 墙 关闭 对 特定 端口 的 访问 以 阻止 mternet 用 户 访 问 
使 用 该 端口 的 应 用 程序 。 防 火 墙 还 能 阻止 对 Internet 的 访问 ， 从 而 防止 局 
域 网 内 部 的 用 户 使 用 Internet 上 的 特定 服务 。 

问 : 为 什么 路 由 器 不 同 发 起 连接 的 计算 机 发 送 TCP 连 接 确认 ? 

答 : 路 由 器 工作 于 网 际 层 〈 在 传输 层 之 下 ) ， 因 此 不 处 理 TCP 信 


问 : 工作 中 的 FTP 服 务 器 一 般 处 于 被 动 打开 、 主 动 打开 还 是 关闭 
_ 答 ;工作 中 的 FTP 服务 器 一 般 处 于 被 动 打开 状态 ， 准 备 好 接受 连 


问 : 三 次 握手 的 第 3 步 为 什么 是 必需 的 ? 

答 : 在 前 两 步 之 后 ， 两 台 计 算 机 已 经 交换 了 ISN 号 ， 所 以 从 理论 上 
来 说 它们 已 经 具有 了 足够 的 信息 来 同步 连接 。 但 是 ， 在 第 2 步 中 发 送 ISN 
的 计算 机 还 没有 收 到 确认 ， 因 此 第 3 步 正 是 确认 第 2 步 中 收 到 的 ISN。 

问 : UDP 报头 中 哪个 字段 是 可 选 的 ， 为 什么 ? 

答 : 源 端口 字段 是 可 选 的 。UDP 是 一 个 无 连接 协议 ， 接收 出 计算 机 
上 的 UDP 软 件 不 需要 知道 源 端 口 。 只 有 在 接收 软件 需要 源 端 口 信息 进行 
错误 检验 时 ， 这 个 字段 才 是 必要 的 。 

问 : 源 端 口 是 16 位 0 时 会 怎么 样 ? 

答 : 目的 计算 机 上 的 应 用 程序 无 法 发 送 啊 应 。 


6.7 测验 

















下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 间 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 则 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完 成 这 些 问 题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 

6.7.1 问题 


1. 运行 在 TCP 端 口 25 上 的 服务 是 什么 ? 
2. 运行 在 UDP 端口 53 上 的 服务 是 什么 ? 





3. 在 使 用 TCP 发 送 数据 时 ， 其 最 大 的 记录 编号 是 多 少 ? 

4. TCP 主 动 打开 和 被 动 打开 的 区 别 是 什么 ? 

5. 打开 TCP 连 接 所 需要 的 最 少 步骤 是 几 个 ? 

6.7.2 练习 

假定 你 为 了 如 下 目的 而 创建 了 目 己 的 网 络 服务 : 

> 使 用 专门 的 人 硬件 接口 与 远程 用 户 通 信 ， 从 而 为 脑 外 科 手 术 提 供 
实时 指令 ; 

> 将 参与 到 高 性 能 集群 中 的 计算 机 的 统计 信息 适时 地 进行 高 效 传 





> 让 原始 的 现场 设备 把 环境 数据 传输 到 家 性 网 络 。 

在 上 面 任 何 一 种 情况 中 ， 都 要 考虑 是 使 用 TCP 还 是 UDP 传输 协议 来 
设计 服务 。 在 分 析 时 ， 需 要 考虑 如 下 因素 : 

> 性 能 ; 

> 可 靠 性 ; 

> 编程 时 间 。 

TCP 和 UDP 协议 提供 了 预定 义 的 功能 集合 ， 但 是 对 编程 人 员 来 

















说 ， 要 想 实 现 一 个 完整 的 应 用 程序 ， 这 只 是 一 个 起 点 。TCP 要 比 UDP 可 
靠 ， 但 是 其 性 能 会 劣 UDP。 通 过 TCP 可 以 自己 编码 实现 其 可 靠 性 的 特 
性 ， 但 是 需要 的 编程 时 间 也 会 增加 。 
6.8 关键 术语 

复习 下 列 关 键 术语 : 

> ACK: 一 个 控制 标记 ， 表 示 TCP 报 头 中 “确认 号 ?字段 是 有 意义 
的 。 


大 “确认 号 ?字段 : TCP 报头 中 的 一 个 字段 ， 表 示 计 算 机 准备 接收 
的 下 一 个 序列 号 。 它 实际 上 确认 了 之 前 的 全 部 顺序 字 节 的 接收 。 

> 主动 打开 : TCP 党 试 发 起 一 个 连接 时 的 状态 。 
人 
I 协议。 

> 无 连接 的 协议 : 不 与 远程 计算 机 建立 连接 就 进行 通信 的 协议 。 

> 控制 标记 : 1 位 标记 ， 表 示 关 于 TCP 数 据 分 段 的 特殊 信息 。 

> 多 路 分 解 : 把 一 路 输入 导向 多 个 输出 。 

> 目的 端口 : 目的 计算 机 上 的 应 用 程序 所 使 用 的 TCP 或 UDP 端 
口 ， 这 个 应 用 程序 将 接收 TCP 数 据 分 段 或 UDP 数 据 报 中 的 数据 。 











> FIN: 一 个 控制 标记 ， 用 于 关闭 TCP 连 接 的 过 程 。 

> 防火 墙 : 保护 网 络 免 受 Internet 非 法 访问 的 设备 。 

> 初始 序列 号 〈ISN) : 一 个 数值 ， 表 示 计 算 机 将 通过 TCP 传输 
的 一 系列 字 节 的 开始 值 。 

> 多 路 复 用 : 把 多 个 输入 合成 一 个 输出 。 

> 被 动 打开 : TCP 端 口 ( 通 常 是 一 个 服务 器 应 用 程序 ) 准备 好 接 
收 连接 的 状态 。 

> 病 口 : 为 应 用 程序 与 传输 层 协 议 提供 接口 的 内 部 地 址 。 

> 伪 报 头 : 从 IP 报 头 派生 出 来 的 一 个 结构 ， 用 于 计算 TCP 或 UDP 
校 验 和 ， 从 而 避免 数据 报 由 于 IP 报 头 信息 的 变化 而 发 送 到 错误 目的 。 
人 
骸 厅 。 

> 序列 号 : 与 TCP 传 输 的 字 节 相关 联 的 唯一 的 序号 。 

> 滑动 窗口 : 接收 端 计算 机 人 允许 发 送 端 计 算 机 发 送 的 序列 号 范 
围 。 这 种 滑动 窗口 方式 的 流量 控制 是 由 TCP 使 用 的 。 

> 套 接 字 : 特定 计算 机 上 特定 应 用 程序 使 用 的 网 络 地 址 ， 由 计算 
机 的 JP 地址 和 应 用 程序 的 端口 号 组 成 。 

> 源 端 口 : 发 送 TCP 数 据 分 段 或 UDP 数 据 报 的 应 用 程序 的 TCP 或 
UDP 端口 。 

> 面向 流 的 处 理 : 连续 输入 一 个 字 节 一 个 字 节 的 ) ， 而 不 是 以 
预定 义 的 数据 块 输入 。 

> SYN: 一 个 控制 标记 ， 表 示 正 在 进行 序列 号 同步 。 这 个 标记 用 
于 TCP 连 接 开 始 时 的 三 次 握手 过 程 。 

> TCP: TCP/P 协 议 复 中 一 个 面 癌 连接 的 、 可 靠 的 传输 层 协议 。 

> 三 次 握手 : 同步 序列 号 并 建立 TCP 连 接 的 一 个 三 步骤 过 程 。 

> UDP: TCP/P 协 议 复 中 一 个 无 连接 的 、 不 可 靠 的 传输 层 协议 。 

> 熟知 端口 : 常见 应 用 程序 所 使 用 的 预定 义 标准 端口 号 ， 是 由 
IANA 指 定 。 














本 章 介 绍 如 下 内 容 : 
> 网 络 服 务 ; 
> APT; 


> TCP/IP 功 能 。 


TCP/P 栈 的 顶层 是 应 用 层 ， 是 位 于 传输 层 之 上 的 网 络 组件 的 一 个 松 
散 集合 。 本 章 将 介绍 一 些 应 用 层 组 件 ， 说 明 这 些 组 件 如 何 把 用 户 带 到 网 
络 。 本 章 还 会 讨论 应 用 层 服 务 、 操 作 环 境 和 网 络 应 用 程序 。 

学 完 本 章 后 ， 你 可 以 : 

> 了 解 应 用 层 ; 

> 知道 应 用 层 的 一 些 网 络 服务 ; 

> 列 出 一 些 重要 的 TCP/IP 工 具 。 


7 什么 是 应 用 屋 


应 用 层 位 于 TCP/IP 协议 簇 的 最 高 层 ， 在 这 一 层 中 ， 网 络 应 用 程序 
和 服务 通过 第 5 章 介绍 的 TCP 和 UDP 端口 与 低层 协议 进行 通信 。 也 许 有 
人 会 间 ，TCP 和 UDP 端口 已 经 构成 了 定义 零 号 的 网 络 接口 ， 为 什么 还 要 
把 应 用 层 算 在 协议 栈 中 呢 ? 需 要 指明 的 是 ， 在 像 TCP/IP 这 样 的 分 层 体系 
中 ， 每 一 层 都 是 通 向 网 络 的 一 个 接口 。 应 用 层 必 须 像 传输 层 一 样 了 解 
TCP 和 UDP 端口 ， 而 且 必 须 相 应 地 传递 数据 。 

TCP/IP 的 应 用 层 是 一 些 能 够 意识 到 网 络 的 软件 组 件 ， 向 TCP 和 UDP 
端口 发 送 和 接收 数据 。 这 些 组 件 从 逻辑 相似 性 来 说 并 不 相同 ， 有 些 只 是 
收集 网 络 配 置 的 简单 工具 ， 而 有 些 则 可 能 是 支持 桌面 操作 系统 的 用 户 界 
面 系统 (比如 XX 窗口 界面 ) 或 应 用 编程 接口 (API) ， 有 些 组 件 为 网 络 
提供 服务 ， 比 如 文件 和 打印 服务 或 名 称 解析 服务 。 本 章 将 介绍 应 用 层 中 
一 些 币 见 的 服务 和 程序 ， 这 些 组 件 的 基体 实现 取决 于 编程 和 软件 设计 的 


细节 。 
首先 ， 我 们 要 对 比 一 下 TCP/IP 的 应 用 层 与 OSI 模 型 中 相应 的 层 。 
7.2 TCP/IP 应 用 层 与 OSI 


第 2 章 讲 到 ，TCP/P 并 不 是 与 OSI 网 络 模型 完全 一 致 的 。 但 是 ，OSI 
模型 影响 了 网 络 系统 的 开发 ， 而 且 最 近 多 协议 联网 的 发 展 趋势 更 加 依赖 
于 OSI 术语 与 概念 。 应 用 层 存 在 于 很 多 不 同 的 操作 系统 和 网 络 环境 ， 而 
在 这 些 环境 中 ，OSI 模 型 是 定义 和 描述 网 络 系统 的 重要 工具 。OSI 模 型 
能 够 帮助 我 们 理解 TCP/IP 应 用 层 中 发 生 的 过 程 。 

TCP/IP 应 用 层 对 应 于 OSI 模 型 的 应 用 层 、 表 示 层 和 会 话 层 〈( 见 图 
7.1) 。OSI 模 型 的 细致 划 分 (用 三 层 而 不 是 一 层 ) 对 TCP/IP 所 谓 的 应 
用 程序 级 (有 时 也 被 称 为 过 程 /程序 级 ) 服务 做 了 进一步 的 规划 。 
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TCP/IP OSI 
图 7.1 TCP/IP 中 的 应 用 层 对 应 于 OSI 模型 中 的 应 用 层 、 表 示 层 和 会 话 层 


对 OSI 模 型 相应 层 的 介绍 如 下 。 

> 应 用 层 : OSI 的 应 用 层 ( 不 要 与 TCP/IP 的 应 用 层 泥 淆 ) 包含 的 组 
件 为 用 户 应 用 程序 提供 服务 并 支持 网 络 访问 。 

> 表示 层 : 表示 层 把 数据 转化 为 与 平台 无 关 的 格式 ， 并 处 理 加 密 
和 数据 压缩 。 

会 话 层 : 负责 管理 联网 计算 机 上 应 用 程序 之 间 的 通信 ， 提 供 了 
一 些 传 输 层 不 具备 、 与 连接 相关 的 功能 ， 比 如 名 称 识别 和 安全 。 

这 些 服务 对 于 应 用 程序 和 实现 来 说 并 不 是 必需 的 。 在 TCP/IP 模型 
中 ， 各 种 实现 都 不 必 遵 循 这 些 OSI 细 分 的 层次 。 但 从 整体 来 说 ，OSI 模 
型 中 应 用 层 、 表 示 层 和 会 话 层 的 功能 都 属于 TCP/IP 应 用 层 的 职责 。 


























应 用 层 的 很 多 组 件 都 是 网 络 服务 。 前 面 章节 中 讲 到 ， 协 议 系统 中 的 
任何 一 层 都 为 系统 中 的 其 他 层 提供 服务 。 在 大 多 数 情 况 下 ， 这 些 服务 是 
定义 明确 的 、 属 于 协议 系统 的 一 部 分 。 然 而 在 应 用 层 中 ， 这 些 服 务 对 于 
协议 软件 的 运行 并 不 是 必需 的 ， 更 多 的 是 为 用 户 提供 方便 ， 或 是 让 本 地 
操作 系统 连接 到 网 络 。 

客观 地 说 ， 协 议 栈 中 的 低层 协议 与 通信 机 制 有 关 ， 与 日 常用 户 的 关 
系 就 不 明显 了 。 而 从 男 一 方面 来 讲 ， 应 用 层 包 含 的 大 量 网 络 服 务 却 是 为 
用 户 提 供 的 : 文件 服务 、 远 程 访问 服务 、E-mail 和 HTTP Web 服 务 协 











议 。 事 实 上 ， 本 书 的 大 部 分 篇 幅 是 介绍 应 用 层 的 网 络 服务 。 
表 7.1 列 出 了 最 重要 的 一 些 应 用 层 协 议和 服务 。 后 面 章节 会 讨论 一 
些 最 突出 的 应 用 层 服务 ， 包 括 : 


表 7.1 应 用 层 部 分 协议 











协议 描述 

BitTorrent 点 对 点 文件 共享 协议 ， 通 常用 于 从 Internet 上 快速 下 载 大 型 文件 
通用 Internet 文件 系统 (CIFS) SMB 文件 服务 协议 的 增强 版 本 

域名 系统 (DNS ) 把 Internet 名 称 映 射 为 IP 地 址 的 一 种 分 层 系 统 

动态 主机 配置 协议 (DHCP) 用 于 动态 分 配 IP 地 址 和 其 他 网 络 配置 参数 的 协议 

文件 传输 协议 (FTP) -种 上 传 和 下 载 文件 的 流行 协议 

Finger 查看 和 请 求 用 户 信息 的 协议 

超 文 本 传输 协议 (HTTP) 万 维 网 的 通信 协议 

Internet 消息 访问 协议 〈IMAP) 访问 邮件 消息 的 通用 协议 

轻 量 级 目录 访问 协议 (LDAP) 用 于 实现 和 管理 信息 目录 服务 的 协议 

网 络 文件 系统 (NFS) 让 远程 用 户 能 够 访问 文件 资源 的 协议 

网 络 时 间 协 议 (NTP)》 在 TCP/IP 网 络 同步 时 钟 和 其 他 时 间 资 源 的 协议 

邮局 协议 (POP) 从 邮件 服务 器 下 载 E-mail 的 协议 

远程 过 程 调用 (RCP) 这 个 协议 能 够 让 一 台 计 算 机 上 的 程序 调用 另 一 个 计算 机 上 的 子 程序 或 过 程 
服务 器 信息 块 CSMB ) 文件 和 打印 服务 协议 

简单 网 络 管理 协议 (SNMP) 管理 网 络 设备 的 协议 





> 文件 和 打印 服务 ; 

> 名 称 解析 服务 ; 

> 远程 访问 服务 ; 

> Web 服 务 。 

其 他 一 人 比如 邮件 服务 和 网 络 管理 服务 ， 将 在 其 
人 让 人 


7.3.1 [打上 


前 面 章 节 讲 到 ， 服 务 器 是 为 其 他 计算 机 提供 服务 的 计算 机 ， 文 件 服 
务 名 和 打印 服务 器 是 两 种 很 常见 的 服务 占 。 

打印 服务 器 负责 操作 打印 机 ， 满 足 针 对 这 人 台 打 印 机 的 全 部 打印 请 
求 。 文 件 服务 器 操作 数据 存储 设备 (比如 人 硬盘) ， 满 足 对 设备 内 数据 读 
取 和 写 入 的 请 求 。 

由 于 文件 服务 和 打印 服务 太 第 用 了 ， 它 们 经 常会 被 统 一 考虑 ， 也 就 








征 经 常会 用 一 台 计 算 机 〈 有 时 甚至 是 同一 个 服务 ) 来 提供 文件 和 打印 服 
务 功能 。 无 论 这 两 个 服务 是 否 在 同一 台 计 算 机 上 ， 它 们 的 原理 是 一 样 

的 。 图 7.2 所 示 为 一 个 典型 的 文件 服务 场景 。 对 文件 的 请 求 经 过 网 络 传 
re 后 者 通过 适当 的 接口 把 请 求 路 由 到 发 文件 服务 器 的 服务 程 


注意 : 简化 版 本 
图 7.2 仅 展示 了 与 TCP/IP 相 关 的 基本 部 件 。 在 真实 的 协议 和 操作 系 
统 实现 中 ， 可 能 需要 其 他 层 或 组 件 的 帮助 才能 把 数据 转发 给 文件 服务 器 


的 服务 程序 。 





文件 服务 器 
应 用 层 服务 


网 络 
访问 层 





所 一 一 文件 服务 请 求 


图 7.2 文件 服务 


文件 服务 系统 ， 比 如 UNIX/Linux 的 网 络 文件 系统 (NFS) 和 
Microsoft 的 通用 Internet 文 件 系统 (CIFS) 与 服务 器 信息 块 (SMB)， 
都 工作 于 应 用 层 ， 经 典 的 文件 传输 工具 文件 传输 协议 CEFTP) 和 简单 文 
件 传 输 协议 〈TETP) 亦 是 如 此 。 

7.3.2 名 称 解 过 

第 1 章 讲 到 ， 名 称 解 析 就 是 把 预定 义 的 、 方 便 用 户 使 用 的 名 称 映射 
为 了 地址 的 过 程 。 域 名 系统 (DNS) 服务 为 Internet 提 供 了 名 称 解 机， 也 
能 为 独立 的 TCP/IP 网 络 提供 名 称 解 析 。DNS 使 用 名 称 服务 器 解决 DNS 名 


称 查 询 。 名 称 服务 运行 于 服务 器 的 应 用 层 ， 并 且 与 其 他 名 称 服务 器 交换 
名 称 解析 信息 。 其 他 常见 的 名 称 解析 系统 有 网 络 信息 服务 (NIS) 、 
NetBIOS 名 称 解 析 ， 还 有 一 些 名 称 服务 利 用 了 轻 量 级 目录 访问 协议 
(LDAP) 。 

7.3.3 远程 访 品 

让 用 户 从 一 台 计 算 机 向 另外 一 台 计 算 机 发 起 交互 式 连接 请 求 的 技术 
大 多 集中 在 应 用 层 。 比 如 第 15 章 将 介绍 的 Telnet 和 SSH 歌 可 以 让 用 户 通 
过 网 络 登录 到 远程 系统 并 发 送 命 令 ， 而 现代 的 屏幕 共享 工具 为 昌 面 GUI 
系统 实现 了 类 似 的 效果 。 

为 了 把 本 地 环境 与 网 络 集成 在 一 起 ， 有 些 网 络 操作 系统 使 用 名 为 重 
定向 器 的 服务 。 重 定向 器 有 时 也 被 称 为 请 求 者 。 

重 定向 器 截获 本 地 计算 机 上 的 服务 请 求 ， 查 看 这 个 请 求 是 否 可 以 在 
本 地 实现 ， 还 是 转发 到 网 络 中 的 其 他 计算 机 。 如 果 请 求 针 对 其 他 计算 机 
中 的 服务 ， 重 定向 器 就 把 请 求 转发 到 网 络 上 《〈 见 图 7.3) 。 






















将 请 求 传 
输 到 网 络 


图 7.3 重 定向 器 


重 定 回 器 为 需要 访问 网 络 资源 的 用 户 提 供 了 通用 的 解决 方案 ， 就 好 
像 这 些 服务 位 于 本 地 环境 中 一 样 。 例 如 ， 对 一 个 远程 硬盘 的 操作 与 对 客 
户 端 计算 机 上 本 地 硬盘 的 操作 是 一 样 的 。 

7.3.4 Web 服 务 


超 文本 传输 协议 〈HTTP) 是 应 用 层 的 一 个 协议 ， 是 万 维 网 生态 系 
统 的 核心 。HTTP 最 初 的 用 途 是 传输 文本 和 图 像 ， 但 Web 服务 模型 的 发 
展 需要 大 量 与 Web 相关 的 协议 和 组 件 来 建立 运行 于 Web 浏 览 器 中 的 工 
有 具 。 第 20 章 将 详细 介绍 Web 服 务 范 例 。 


7.4 API 和 应 用 层 
应 用 编程 接口 《API) 是 预定 义 的 编程 组 件 的 集合 ， 应 用 程序 可 以 
利用 它 访 问 操作 环境 的 其 他 部 分 ， 也 就 是 与 操作 系统 进行 通信 。 网 络 协 


议 栈 就 是 API 概 念 的 典型 应 用 ， 如 图 7.4 所 示 ， 网 络 API 提 供 了 程序 与 协 
议 栈 的 接口 ， 应 用 程序 利用 API 的 函数 打开 和 关闭 连接 、 从 网 络 读 取 和 


写 入 数据 。 


网 际 层 


网 络 
访问 层 


所 一 网 络 一 > 
图 7.4 网 络 API 让 应 用 程序 通过 TCP/IP 访问 网 络 
套 接 字 API 最 初 的 开发 目的 是 为 BSD UNIX 的 应 用 程序 提供 一 个 访 
问 TCP/IP 协 议 栈 的 接口 ， 现 在 已 经 广泛 用 于 其 他 系统 ， 作 为 访问 


TCP/IP 的 程序 接口 。 几 年 前 ，Microsoft 开发 了 套 接 字 接口 的 一 个 版 本 
WinSock。 在 Window 3.1 及 更 早 版 本 里 ， 用 户 必须 安装 和 配置 






















WinSock 的 一 个 实现 才能 访问 TCP/IP 网 络 。 从 Windows 95 开 始 ， 
Microsoft 把 TCP/IP 程 序 接口 直接 散 入 到 Windows 操 作 系 统 中 。 

像 僚 接 字 API 这 样 的 网 络 API 通 过 套 接 字 接收 数据 ， 把 数据 传递 给 
应 用 程序 。 可 见 ， 这 些 API 是 工作 于 应 用 层 的 。 


7.5 TCP/IP 工 具 








应 用 层 还 包含 一 些 TCP/IP 工 具 〈 见 表 7.2) 。 这 些 TCP/IP 工 具 最 初 
是 围绕 Internet 和 早期 的 UNIX 网 络 开 发 的 ， 现 在 用 于 配置 、 管 理 和 诊断 
全 世界 的 TCP/IP 网 络 ， 而 且 有 针对 Windows 和 其 他 网 络 操作 系统 的 版 
本 。 


表 7.2 TCP/IP 工 具 
工具 描述 
连接 工具 
IPConfig -个 Windows 工具 ， 显 示 TCP/TP 配置 信息 (相应 的 UNIX 工具 是 ifconfig) 
Ping 测试 网 络 连通 性 的 工具 
Arp 查看 (并 可 能 修改 ) 本 地 或 远程 计算 机 ARP 缓存 的 工具 。ARP 缓存 包含 物理 地 址 与 IP 地 址 之 间 的 
映射 ( 见 第 4 章 ) 
Traceroute 追踪 数据 报 经 过 Internet 路 径 的 工具 
Route 查看 、 添 加 或 编辑 路 由 表 条 目的 工具 《〈 见 第 8 章 ) 
Netstat 显示 耻 、UDP、TCP 和 ICMP 统计 数据 的 工具 
NBTstat 显示 NetBIOS 和 NBT 统计 数据 的 工具 
Hostname 返回 本 地 主机 名 称 的 工具 
文件 传输 工具 


Ftp 使 用 TCP 的 基本 文件 传输 工具 








Tftp 使 用 UDP 的 基本 文件 传输 工具 ， 一 般 用 于 给 网 络 设备 下 载 代码 这 样 的 任务 





Rep 简单 的 远程 文件 传输 工具 


























远程 工具 

Telnet 远程 终端 工具 

Rexec 通过 rexecd daemon 在 远程 计算 机 上 运行 命令 的 工具 

Rsh 调用 远程 计算 机 上 的 shell 来 执行 命令 的 工具 

Finger 显示 用 户 信息 的 工具 

Internet 工具 

浏览 器 能 够 访问 万 维 网 HTML 内 容 的 工具 

新 闻 阅 读 器 与 Internet 新 闻 组 连接 的 工具 

E-mail 阅读 器 提供 收发 E-mail 功能 的 工具 

Archie 能 够 访问 匿名 FTP 站 点 索引 的 工具 ， 曾 经 很 流行 ， 但 万 维 网 及 其 搜索 引擎 降低 了 Archie 的 重要 性 
Gopher 革 于 菜单 的 Internet 信息 工具 。 与 万 维 网 相 比 ， 它 像 Archie 一 样 已 经 过 时 了 
Whois 能 够 访问 个 人 联系 信息 目录 〈 类 似 于 Internet 白 页 ) 的 工具 


7.6 小 结 


本 章 介绍 了 TCP/IP 应 用 层 ， 描 述 了 它 支 持 的 一 些 应 用 程序 和 服务 ， 
还 讨论 了 TCP/IP 本 身 所 具有 的 一 些 工 具 。 


7.7 问 与 签 


问 : 作为 文件 服务 器 的 计算 机 处 于 运行 状态 ， 而 且 也 连接 到 了 网 
络 ， 但 用 户 不 能 访问 文件 ， 会 是 什么 问题 呢 ? 

答 : 多 种 原因 都 会 导致 这 种 结果 ， 进 一 步 检查 特定 的 操作 系统 和 配 
置 会 得 到 更 准确 的 分 析 。 针 对 本 章 讲 解 的 内 容 ， 首 先 我 们 要 检查 计算 机 
的 文件 服务 露 的 服务 程序 是 否 在 运行 。 文 件 服务 器 并 不 仅仅 是 一 合计 算 
机 ， 它 是 运行 于 计算 机 上 的 一 个 服务 ， 用 于 满足 文件 请 求 。 

问 : OSI 模 型 为 什么 把 应 用 层 的 功能 进一步 划分 为 3 个 单独 的 层 
(会 话 层 、 表 示 层 和 应 用 层 〉? 

答应 用 层 提供 了 广泛 的 服务 ，OSI 模型 对 应 用 层 的 细 分 为 软件 开 
发 人 员 更 好 地 组 织 其 中 的 部 件 提供 了 一 种 模块 化 结构 ， 也 为 应 用 程序 与 
协议 栈 之 间 的 交互 提供 了 更 多 的 选择 。 


7.8 测验 
下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问 题 则 在 测试 读者 对 本 章 


知识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答案 ， 请 

















参见 附录 A。 

7.8.1 问题 

1. 使 用 什么 网 络 工 具 可 以 检测 网 络 的 连通 性 ? 

2. 什么 应 用 层 协议 用 来 载 入 Web 页 面 ? 

3. 哪 两 种 应 用 层 协 议 用 来 接收 邮件 ? 

4. 哪个 协议 将 主机 名 称 映射 为 IP 地 址 ? 

5. 哪个 协议 用 来 同步 计算 机 时 钟 ? 

7.8.2 练习 

本 章 讲 解 的 大 多 数 主题 将 在 本 书后 面 详细 讲解 。 应 用 层 中 的 标准 
TCP/IP 配置 工具 主要 用 来 进行 配置 和 网 络 排 错 。 为 了 看 一 下 TCP/IP 工 
具 是 如 何 工 作 的 ， 打 开 一 个 终端 窗口 ， 如 果 是 Windows 系 统 ， 输 入 
ipconfig; 如 果 是 Mac OX、UNIX 或 Linux 系 统 ， 则 输入 ifconfig。 尽 管 
ipconfig 〈 或 ifconfig) 工具 提供 了 低层 协议 的 信息 ， 但 是 ， 通 过 终端 窗 
口 使 用 这 些 工 具 的 事实 意味 着 ， 这 些 命令 是 通过 应 用 层 来 执行 的 。 终 端 
将 显示 计算 机 的 网 络 配置 信息 。 


7.9 关键 术语 


复习 下 列 关 键 术 语 : 

> 应 用 编程 接口 (API) : 预定 义 的 编程 组 件 的 集合 ， 应 用 程序 
可 以 使 用 它 来 访问 操作 系统 中 的 其 他 部 分 。 

> 文件 服务 : 满足 网 络 上 对 存储 介质 写 入 或 读 取 文件 的 请 求 。 

> 打印 服务 : 满足 网 络 上 对 打印 文档 的 请 求 。 

> 重 定向 器 : 检查 本 地 资源 请 求 ， 根 据 需 要 转发 到 网 络 。 

> 套 接 字 API: 一 种 网 络 API， 最 初 是 为 BSD UNIX 上 的 应 用 程序 
提供 TCP/IP 接 口 而 开发 的 。 
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第 8 童 路 由 选择 


本 章 介 绍 如 下 内 容 : 

> IP 转 发 ; 

> 直接 路 由 和 间接 路 由 ; 

> 路 由 协议 。 

如 果 没 有 路 由 器 ， 支 持 全 球 网 络 (比如 Internet) 的 基础 设备 是 根 
本 不 能 正常 工作 的 。TCP/IP 的 设计 思想 就 是 要 通过 路 由 器 实现 操作 ， 
所 以 不 讨论 路 由 器 就 不 算 完整 地 介绍 了 TCP/IP。 本 章 将 介绍 网 络 上 的 路 
由 器 如 何 经 过 一 个 复杂 的 通信 过 程 来 决定 数据 传递 到 目的 地 的 最 佳 路 
径 ， Sp 路 由 表 和 路 由 协议 。 

完 本 章 后 ， 你 可 以 : 

> 描述 PP 转发 及 其 工作 原理 ， 

> 区 分 距离 矢量 路 由 和 链 路 状态 路 由 ; 

> 了 解 核心 路 由 器 、 内 部 路 由 器 和 外 部 路 由 器 所 扮演 的 角色 ; 

> 了 解 常 用 的 内 部 路 由 协议 RIP 和 OSPF。 


8.1 TCP/IP 中 的 路 由 选择 


在 大 多 数 基 本 形式 中 ， 路 由 需 是 负责 根据 逻辑 地 址 对 通信 流量 进行 
过 小 的 设备 。 经 典 的 网 络 路 由 占 工 作 于 网 际 层 (OSI 模 型 的 网 络 层 〉， 
使 用 网 际 层 报头 中 的 Ip 寻 址 信息 。 网 络 层 在 OSI 中 也 被 简称 为 第 3 层 ， 因 
此 路 由 器 有 时 被 称 为 第 3 层 设 备 。 近 些 年 来 ， 便 件 广 商 已 经 开发 出 了 可 
以 工作 在 OSI 协议 栈 更 高 层 的 路 由 器 。 本 章 会 介绍 第 4 层 到 第 7 层 路 由 
侣 ， 但 目前 我 们 只 考虑 工作 于 网 际 层 〈 即 第 3 层 ， 和 了 IP 寻 址 位 于 同一 
层 ) 的 路 由 需 。 




















路 由 器 是 大 型 TCP/IP 网 络 的 必要 组 成 部 分 。 没 有 路 由 器 ，Internet 就 
不 能 正常 工作 。 事 实 上 ， 如 果 不 是 网 络 路 由 器 和 TCP/IP 路 由 协议 的 发 
展 ，Intemet 也 不 会 发 展 到 今天 这 样 的 程度 。 

像 Internet 这 样 的 大 型 网 络 具 有 很 多 路 由 器 ， 提 供 了 从 源 到 目的 节 
点 的 多 条 路 径 。 这 些 路 由 器 必须 独立 工作 ， 但 整个 系统 必须 保证 数据 能 
够 准确 高 效 地 在 网 络 中 传输 。 

当 路 由 器 将 数据 从 一 个 网 络 传输 到 下 一 个 网 络 时 ， 它 会 蔡 换 网 络 访 
问 层 报头 信息 ， 因 此 路 由 器 可 以 连接 不 同类 型 的 网 络 。 很 多 路 由 器 还 维 
We 
| 的 。 

在 本 书 编 写 之 时 ，TCP/IP 中 的 路 由 选择 是 241 份 RFC 文 档 的 主题 ， 
其 内 容 能 够 轻松 地 填 满 十 几 本 书 。TCP/IP 路 由 选择 真正 出 色 之 处 是 它 
工作 得 非常 好 。 任 何人 都 可 以 使 用 Internet 浏 览 器 与 中 国 或 芬兰 的 计算 机 
用 户 进行 连接 ， 而 且 不 需要 考虑 会 有 多 少 设备 在 全 世界 转发 这 个 请 求 。 
即使 在 较 小 的 网 络 上 ， 路 由 器 也 可 以 在 控制 流量 和 维持 网 络 速度 方面 发 
挥 重要 作用 。 

8.1.1 什么 是 路 由 器 

描述 路 由 器 最 好 的 方式 是 描述 其 外 观 。 在 它 的 最 简单 形式 中 《或 者 
说 最 基本 形式 ) ， 路 由 器 看 上 去 就 像 一 台 具 有 两 块 网 络 适配器 的 计算 
机 。 早 期 的 路 由 器 实际 上 就 是 具有 两 块 或 多 块 网 络 适配器 的 计算 机 (也 
被 称 为 多 宿主 计算 机 ) 。 图 8.1 所 示 为 充当 路 由 器 的 多 宿主 计算 机 。 

理解 路 由 的 第 一 个 步骤 是 要 记 住 卫 地 址 是 属于 适配器 的 ， 而 不 是 属 
于 计算 机 的 。 图 8.1 中 的 计算 机 有 两 个 IP 地 址 ， 一 个 适配器 一 个 。 实 际 
上 ， 这 两 个 适配器 可 以 具有 完全 不 同 的 卫 子 网 、 对 应 于 完全 不 同 的 物理 
网 络 〈 见 图 8.1 中 ) 。 在 图 8.1 中 ， 多 宿主 计算 机 上 的 协议 软件 能 够 从 网 
段 A 接 收 数据 ， 碍 看 了 地 址 信息 来 判断 数据 是 否 属于 网 段 B。 如 果 是 ， 
就 将 其 中 的 网 络 访问 层 报头 信息 蔡 换 为 包含 网 段 B 物 理 地 址 信息 的 报 
头 ， 再 把 数据 传递 给 网 络 B。 在 这 种 简单 的 场景 中 ， 多 和 宿主 计算 机 起 到 
了 路 由 器 的 作用 。 



































图 8.1 多 宿主 计算 机 充当 路 由 器 


如 果 想 理解 世界 级 网 络 在 做 什么 ， 可 以 按照 下 面 的 思路 把 上 面 这 个 
场景 复杂 化 。 

> 路 由 器 的 端口 “适配器 ) 超过 两 个 ， 也 就 是 同时 连接 两 个 以 上 
的 网 络 。 决 定 癌 哪里 转发 数据 就 变 得 更 复 林 了 ， 而 且 很 可 能 增加 元 余 路 
径 〈 事 实 上 ， 终 端 用 户 在 大 多 数 LAN 中 见 到 的 路 由 器 用 于 连接 两 个 网 
段 ， 但 是 在 Internet 结 构 内 可 以 存在 更 为 复杂 的 场景 ) 。 

> 由 路 由 需 连 接 起 来 的 网 络 还 分 别 与 其 他 网 络 连接 。 换 句 话说 ， 
路 由 器 观察 到 的 网 络 地 址 可 能 并 不 属于 它 直 接连 接 的 网 络 ， 它 必须 具有 
东 种 策略 把 数据 转发 到 这 些 非 直 连 网 络 上 。 

> 路 由 需 网 络 提供 了 元 余 的 路 径 ， 每 全 路 由 器 必须 能 够 以 菏 种 方 
式 决定 使 用 哪个 路 径 。 

图 8.1 所 示 的 简单 配置 加 上 前 面 这 几 条 复杂 性 ， 就 可 以 得 到 路 由 喜 
功能 更 详细 的 描述 〈 见 图 8.2) 。 

















图 8.2 复杂 网 络 中 的 路 由 


目前 网 络 上 的 大 多 数 路 由 露 不 是 多 宪 主 计算 机 ， 因 为 让 专门 的 设备 
来 负责 路 由 具有 更 高 的 性 价 比 。 路 由 设备 专门 用 于 有 效 地 执行 路 由 功 
能 ， 不 包括 完整 计算 机 所 具有 的 那些 额外 特性 。 


8.1.2 路 由 选择 过 程 

基于 前 一 小 节 对 于 简单 路 由 右 的 讨论 ， 对 路 由 器 功能 的 更 全 面 介 绍 
如 下 所 述 。 

1. 路 由 器 从 所 连接 的 网 络 之 一 接收 数据 。 

2. 路 由 器 把 数据 传递 到 协议 栈 的 网 际 层 。 换 句 话说 ， 路 由 器 抛弃 
网 络 访 问 层 报头 信息 ， 并 重组 IP 数 据 报 (如 果 有 必要 ) 。 

3. 路 由 器 检查 IP 报 头 中 的 目的 地 址 。 
人 

5. 在 路 由 喜 决 定 了 它 的 哪个 适配器 要 接收 这 个 数据 后 ， 融 把 数据 
传递 到 适当 的 网 络 访问 层 软 件 ， 让 数据 通过 适配器 进行 传输 。 

这 个 路 由 选择 过 程 如 图 8.3 所 示 。 有 人 也 许 会 觉得 第 4 步 中 的 路 由 表 
很 关键 ， 但 事实 上 路 由 表 和 建立 路 由 表 的 协议 是 路 由 器 具有 的 两 个 显著 











特性 。 对 于 路 由 器 的 大 多 数 讨论 都 是 关于 建立 路 由 表 、 汇 集 路 由 表 的 路 
由 协议 如 何 让 所 有 的 路 由 器 像 一 个 整体 一 样 提 供 服 务 。 
路 由 的 类 型 主要 有 两 种 ， 它 们 的 名 称 就 源 目 于 其 从 何 处 获得 路 由 表 


主 自 


百 v 忆 o 


> 静态 路 由 : 要 求 网 络 管理 员 手 工 输入 路 由 信息 。 








> 动态 路 由 : 根据 使 用 路 由 协议 获得 的 路 由 信息 来 动态 建立 路 由 


表 。 





图 8.3 复杂 网 络 中 的 路 由 


静态 路 由 可 以 用 于 一 些 特定 场合 ， 很 显然 ， 这 种 需要 由 网 络 管理 员 
手工 输入 路 由 信息 的 系统 必定 存在 严重 的 局 限 性 。 首 先 ， 静 态 路 由 不 能 
很 好 地 适应 包含 数 百 个 可 行路 由 的 大 型 网 络 。 其 次 ， 除 了 最 简单 的 网 络 
之 外 ， 静 态 路 由 需要 网 络 管理 员 投入 大 量 的 时 间 ， 因 为 不 仅 要 创建 路 由 
表 ， 还 要 持续 更 新 其 中 的 信息 。 另 外 ， 静 态 路 由 表 不 能 迅速 地 跟随 网 络 











注意 : 预 配 置 的 路 由 

大 多 数 动态 路 由 器 允许 管理 员 乾 天 动 态 路 由 ， 并 且 对 特定 地 址 配置 
静态 路 径 。 预 配置 的 静态 路 由 有 时 可 以 用 于 网 络 排 错 ， 有 时 也 可 以 用 于 
强制 使 用 快速 网 络 连接 或 平衡 网 络 流量 。 

8.1.3 呈 概念 


路 由 表 和 网 际 层 其 他 路 由 元 素 的 用 途 在 于 把 数据 传递 到 正确 的 本 地 
网 络 。 当 数据 到 达 本 地 网 络 之 后 ， 网 络 访问 协议 就 会 知道 它 的 目的 地 。 
因此 ， 路 由 表 不 需要 存储 完整 的 IP 地 址 ， 只 需要 列 出 网 络 ID 即 可 (有关 
PP 地 址 的 网 络 ID 和 主机 也 的 讨论 ， 请 见 第 4 章 和 第 5 章 ) 。 

图 8.4 所 示 为 一 个 非常 基本 的 路 由 表 的 内 容 。 从 本 质 上 讲 ， 路 由 表 
就 是 把 目的 网 络 ID 映射 到 下 一 跳 的 卫 地 址 ， 即 数据 报 通 往 目 的 网 络 的 下 
一 站 。 路 由 表 会 区 分 直接 连接 到 路 由 器 本 身 的 网 络 和 通过 其 他 路 由 器 间 
接连 接 过 来 的 网 络 。 下 一 跳 可 以 是 目的 网 络 (如果 是 直接 连接 的 ) ， 也 
可 以 是 通 向 目的 网 络 的 下 一 个 下 游 路 由 器 。 图 8.4 中 的 路 由 器 端口 接口 
是 指 转发 数据 的 路 由 器 端口 。 

路 由 表 中 的 “下 一 跳 ” 条 目 是 理解 动态 路 由 的 关键 。 在 复杂 的 网 络 
中 ， 可 能 存在 着 通 向 目的 的 多 条 路 径 ， 路 由 器 必须 决定 下 一 跳 沿 着 哪 条 
路 径 前 进 。 动 态 路 由 器 基于 使 用 路 由 协议 获得 的 信息 来 做 出 决定 。 























路 由 器 
目的 下 一 跳 端口 接口 
一 2 一 > 一 
129.14.0.0 Direct Connection 1 
150.27.0.0 131.100.18.6 3 
155.111.0.0 Direct Connection 2 
165.48.0.0 129.14.16.1 1 

图 8.4 路 由 表 


注意 : 路 由 表 

主机 计算 机 可 以 像 路 由 器 一 样 具 有 路 由 表 ， 但 由 于 主机 不 需要 执行 
路 由 功能 ， 它 的 路 由 表 通 第 不 会 那么 复杂 。 主 机 通常 会 使 用 默认 路 由 或 
默认 网 关 。 当 数据 报 不 能 在 本 地 网 络 上 传输 或 传递 到 另 一 台 路 由 器 时 ， 
它 就 会 被 传递 到 充当 默认 网 关 的 路 由 器 。 

8.1.4 IP 转 发 





主机 和 路 由 需 都 有 路 由 表 ， 主 机 的 路 由 表 比 路 由 需 的 简单 得 多 ， 它 
可 能 只 包含 两 行 : 一 个 条 目 用 于 本 地 网 络 ， 另 一 个 用 于 默认 路 由 《用 于 
处 理 不 能 在 本 地 网 段 上 传输 的 数据 包 ) 。 这 种 基本 的 路 由 信息 对 于 把 数 
据 报 指 同 其 目的 来 说 足够 了 。 稍 后 我 们 会 看 到 ， 路 由 器 的 功能 要 更 复杂 


ea 


在 第 4 章 讲 到 ，TCP/IP 软 件 利 用 ARP 把 IP 地 址 解析 为 本 地 网 段 上 的 
物理 地 址 ， 但 如 果 IP 地 址 不 在 本 地 网 段 上 会 怎么 样 呢 ? 如 果 IP 地 址 不 
在 本 地 网 段 上 ， 主 机 会 把 数据 报 发 送 到 路 由 器 。 现 在 有 人 也 许 已 经 发 现 
了 ， 实 际 情况 不 是 这 么 简单 的 。 卫 报头 〈 见 图 4.3) 只 包含 了 源 和 目的 的 
IP 地 址 ， 它 没有 足够 的 空间 来 列 出 能 够 传输 数据 报 的 中 间 路 由 器 的 地 
址 。 前 面 提 到 过 ， 卫 转发 过 程 实际 上 不 会 在 了 报头 中 写 入 路 由 器 的 地 
址 ， 而 是 由 主机 把 数据 报 和 路 由 器 的 耳 地 址 向 下 传递 到 网 络 访问 层 ， 该 
层 的 协议 软件 会 使 用 一 个 独立 的 查询 过 程 把 数据 报 封装 到 一 个 帧 中 ， 通 
过 本 地 网 段 传递 给 路 由 器 。 换 名 话说 ， 被 转发 的 数据 报 里 的 IP 地 址 指 疝 
最 终 要 接收 数据 的 主机 ， 而 转发 数据 报 的 帧 中 的 物理 地 址 指向 路 由 器 上 
本 地 适配器 的 地 址 。 

下 面 是 对 这 一 过 程 的 简要 介绍 ( 见 图 8.5)〉。 


路 由 表 









路 由 器 人 A 
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Yi 路 由 器 人 
物理 地 址 


图 8.5 IP 转 发 过 程 


1. 一 台 主 机 准备 发 送 一 个 IP 数 据 报 ， 它 查看 自己 的 路 由 表 。 

2. 如 果 数 据 报 不 能 在 本 地 网 络 上 发 送 ， 主 机 就 会 从 路 由 表 里 获 取 
与 目的 地 址 相关 联 的 路 由 器 的 IP 地 址 (对 于 本 地 网 段 上 的 主机 来 说 ， 这 
个 路 由 喜 的 卫 地 址 一 般 都 是 默认 网 关 的 地 址 ) 。 路 由 器 的 卫 地 址 被 ARP 
协议 解析 为 物理 地 址 。 

3. 数据 报 〈 目 的 是 远程 主机 ) 和 路 由 器 的 物理 地 址 一 起 被 传递 给 
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网 络 访问 层 。 

4. 路 由 器 的 网 络 适 配器 会 接收 到 这 个 帧 ， 因 为 帧 的 目的 物理 地 址 
与 路 由 器 的 物理 地 址 相 匹配 。 

5. 路 由 器 对 帧 进行 折 包 ， 把 数据 报 传递 给 网 际 层 。 

6. 路 由 器 查看 数据 报 的 IP 地 址 。 如 果 这 个 地 址 匹配 路 由 器 上 自己 的 
IP 地 址 ， 就 表示 数据 是 要 友 给 路 由 器 本 号 的 ;， 人 否则， 路 由 融会 得 看 目 己 
0 


7. 如 果 不 能 把 数据 报 发 送 到 与 路 由 器 相连 接 的 任何 网 段 ， 路 由 器 
束 把 数据 报 发 送 给 男 一 台 路 由 器 ， 上 述 过程 束 会 重复 进行 (从 第 1 步 开 
始 ) ， 直 到 最 后 一 个 路 由 器 能 够 把 数据 报 直 接 传 输 给 目的 主机 。 

此 过 程 中 的 第 6 步 是 路 由 器 的 一 个 重要 特性 。 需 要 记 住 的 是 ， 并 不 
是 具有 两 块 网 卡 的 设备 束 能 充当 路 由 器 。 如 果 没 有 必要 的 软件 来 支持 IP 
转发 ， 束 不 能 把 数据 从 一 个 接口 传递 到 男 一 个 。 当 不 具备 IP 转 发 功能 的 
计算 机 接收 到 目标 是 其 他 计算 机 的 数据 报时 ， 它 只 会 忽略 收 到 的 数据 。 

8.1.5 直接 路 由 与 间接 路 由 

如 果 一 全 路 由 器 只 连接 了 两 个 子 网 ， 路 由 表 就 会 相当 简单。 图 8.6 
所 示 的 路 由 器 不 会 看 到 没有 与 其 端口 相关 联 的 PP 地址， 而 且 它 是 直接 连 
0 
丁当 














路 由 器 A 
CC mR1 CC mR2 7 
图 8.6 连接 两 个 网 段 的 路 由 器 可 以 直接 到 达 每 个 网 段 


再 来 看 一 看 图 8.7 中 的 更 复杂 一 点 的 网 络 。 在 这 种 情况 下 ， 路 由 器 A 
没有 连接 到 网 段 3， 而 且 在 没有 帮助 的 情况 下 也 不 能 发 现 网 段 3。 这 种 
情况 称 为 间接 路 由 。 大 多 数 路 由 式 网 络 都 在 茶 种 程度 上 依赖 于 间接 路 
由 。 大 型 的 公司 网 络 可 能 具有 十 几 个 路 由 器 ， 每 个 网 段 直 接连 接 的 路 由 
器 一 般 不 超过 一 两 个 。 稍 后 将 介绍 大 型 网 络 。 到 目前 为 止 ， 关 于 图 8.7 
的 最 大 问题 是 : 路 由 需 A 如 何 发 现 网 段 3? 路 由 器 A 如 何 知 道 发 往 网 段 3 
的 数据 报应 该 转发 给 路 由 器 B 而 不 是 路 由 器 C 呢 ? 





路 由 器 A 路 由 器 BB 





图 8.7 当 路 由 器 需要 将 数据 报 转 发 到 非 直 接连 接 的 网 络 时 ， 必 须 执行 间 
接 路 由 选择 


路 由 器 了 解 间接 路 由 的 方式 有 两 种 :从 系统 管理 员 和 从 其 他 路 由 
Er 


这 两 种 方式 分 别 对 应 于 静态 路 由 和 动态 路 由 。 系统 管理 员 可 以 直接 
Rn 或 者 路 由 器 B 可 以 告诉 路 由 器 
A 关于 网 段 3 的 信息 (动态 路 由 ) 。 动态 路 由 具有 一 i 月光， 已 
不 震 要 人 工 干 祯 。 其 次 ， 它 可 以 对 网 络 的 改变 做 出 响应 。 如 果 一 个 新 的 
网 段 连接 到 了 路 由 器 B， 路 由 器 B 就 能 把 这 个 改变 通知 路 由 器 A。 

事实 证 明 ， 对 于 小 型 、 简 单 和 固定 网 络 来 说 ， 静 态 路 由 是 一 种 有 效 
的 方法 。 如 图 8.7 所 示 的 简单 网 络 就 可 以 使 用 静态 路 由 ， 但 随 着 路 由 器 
数量 的 增加 ， 静 态 路 由 会 变 得 非常 不 适应 。 网 段 数 量 的 增加 会 让 路 由 堪 
数量 成 倍增 加 ， 为 管理 员 增 加 大 量 额外 的 工作 量 。 更 重要 的 是 ， 在 大 型 
网 络 上 ， 静 态 路 由 的 交互 会 导致 效率 降低 和 询 异 的 行为 ， 比 如 路 由 环 路 
系列 路 由 器 之 间 不 停 地 循环 ， 直 到 其 TTL 超 时 之 后 被 丢弃 


大 多 数 现代 路 由 占 使 用 了 茶 种 形式 的 动态 路 由 。 路 由 器 彼此 之 间 相 
互通 信 ， 大 至 关 二 网 段 和 网 络 路 任 的 信息 ， 得 台 路 由 右 部 根据 从 这 种 通 
信 过 程 中 得 到 的 信息 建立 目 己 的 路 由 表 。 下 面 的 小 节 将 介绍 动态 路 由 是 
如 何 工 作 的 。 

注意 : 静态 路 由 和 动态 路 由 

路 由 器 有 时 会 同时 使 用 静态 路 由 和 动态 路 由 。 系 统管 理 员 可 以 配置 
一 些 静 态 路 径 ， 让 其 他 路 径 动 态 分 配 。 静 态 路 由 有 时 可 以 用 于 强制 流量 
经 过 特定 路 径 ， 例 如 ， 系 统管 理 员 通过 配置 路 由 需 可 以 把 流量 导 回 市 宽 
比较 大 的 链接 。 


8.1.6 动态 路 由 算法 

















一 个 路 由 器 组 内 部 的 路 由 器 会 交换 足够 多 的 关于 网 络 的 信息 ， 使 每 
台 路 由 器 建立 的 路 由 表 都 能 够 描述 出 把 数据 报 传输 给 任何 网 段 的 路 径 。 
路 由 器 之 间 都 交换 什么 信息 呢 ? 路 由 器 如 何 建 立 自 己 的 路 由 表 ? 从 前 面 
的 介绍 可 以 看 出 ， 路 由 器 的 行为 完全 依赖 于 路 由 表 。 有 目前 使 用 的 路 由 协 
议 有 多 种 ， 其 中 很 多 是 围绕 着 两 种 路 由 方法 之 一 设计 的 ， 这 两 种 方法 分 
别 是 距离 矢量 路 由 和 链 路 状态 路 由 。 

这 两 种 方法 其 实 就 是 路 由 器 相互 通信 和 收集 路 由 信息 所 采用 的 不 同 
方法 ， 下 面 将 对 它们 分 别 介绍 ， 还 会 详细 使 用 这 两 种 方法 的 一 对 路 由 协 
议 : RIP (距离 矢量 路 由 协议 ) 和 OSPF 〈 链 路 状态 路 由 协议 ) 。 

说 明 : 协议 和 实现 

距离 矢量 和 和 链 路 状态 是 路 由 协议 的 类 别 ， 实 际 协议 的 具体 实现 还 包 
括 其 他 特性 和 细节 。 另 外 ， 很 多 路 由 器 支持 启动 脚本 、 静 态 路 由 条 目 等 
功能 ， 使 对 距离 矢量 或 链 路 状态 路 由 的 理想 化 描述 变 得 非常 复杂 。 

1. 距离 矢量 路 由 

距离 矢量 路 由 (也 称 为 贝尔 曼 -福特 路 由 ) 是 一 种 高 效 、 简 单 的 路 
由 方法 ， 被 很 多 路 由 协议 所 采用 。 它 曾经 在 路 由 界 占 统治 地 址 ， 虽 然 最 
近 几 年 一 些 更 复杂 的 路 由 方法 (比如 链 路 状态 路 由 〉 逐 渐 流 行 起 来 ， 但 
距离 矢量 路 由 仍然 相当 常见 。 

距离 矢量 路 由 的 设计 目标 是 让 路 由 器 之 间 所 需 的 通信 最 少 ， 让 路 由 
表 中 必须 保留 的 数据 最 少 。 这 种 设计 理念 认为 路 由 器 不 必 知 道 通 向 每 个 
网 段 的 完整 路 径 ， 而 是 只 需 知道 癌 哪 个 方向 发 送 数据 报 即 可 〈 这 也 是 术 
语 “ 矢 量 ” 的 由 来 ) 。 网 段 之 间 的 距离 以 数据 报 在 两 个 网 络 之 间 传 输 必 须 
经 过 的 路 由 器 的 数量 来 表示 ， 而 使 用 距离 矢量 路 由 的 路 由 器 优化 路 径 的 
方式 是 让 数据 报 必须 经 过 的 路 由 器 达到 最 少 。 这 个 距离 参数 被 称 为 “ 跳 


数 ”。 

距离 矢量 路 由 的 工作 方式 如 下 所 示 。 

1. 当 路 由 器 A 初始 化 时 ， 它 感知 到 直接 连接 的 网 段 ， 并 把 这 些 网 
段 写 入 到 目 己 的 路 由 表 中 。 这 些 直 连 网 段 的 跳 数 是 0， 因 为 数据 报 从 这 
台 路 由 器 到 达 这 些 网 段 不 需要 经 过 其 他 路 由 需 。 

2. 在 周期 性 的 时 间 间 隅 中 ， 路 由 噩 接收 到 来 目 邻 拓 路 由 噩 的 报 
告 ， 其 中 包含 了 邻居 路 由 器 所 感知 的 网 段 和 相应 的 跳 数 。 

3. 当 路 由 器 A 从 邻居 路 由 器 收 到 报告 后 ， 按 照 如 下 方法 把 新 路 由 
言 轧 添加 到 目 己 的 路 由 表 中 。 

> 如 条 路 由 器 B 的 信息 中 包含 一 个 路 由 器 A 目 前 还 不 知道 的 网 段 ， 
路 由 器 A 就 把 这 个 网 段 添 加 到 目 己 的 路 由 表 中 。 去 往 这 个 新 网 段 的 路 由 
就 是 路 由 器 也 ， 也 就 是 说 ， 如 有 果 路 由 器 A 收 到 发 同 这 个 新 网 段 的 数据 
报 ， 它 会 转发 给 路 由 器 B。 对 于 路 由 器 A 来 说 ， 这 个 新 网 段 的 跳 数 是 路 















































由 需 B 的 信息 中 列 出 的 路 数 再 加 1， 因 为 它 与 路 由 堪 B 相 比 ， 到 达 这 个 网 
段 需要 多 一 跳 。 

> 如 果 路 由 器 B 的 信息 中 包含 的 网 段 已 经 存在 于 路 由 费 A 的 路 由 表 
中 ， 路 由 器 A 就 会 把 收 到 的 跳 数 加 1， 把 得 到 的 值 与 自己 路 由 表 中 的 值 
相 比 较 。 如 果 经 过 路 由 器 B 的 路 径 比 路 由 器 A 已 经 掌握 的 路 径 更 有 效率 
〈 跳 数 更 小 ) ， 路 由 器 A 就 更 新 自己 的 路 由 器 表 ， 把 路 由 器 B 作 为 通 癌 
相应 网 段 的 路 径 。 

如 采 通 过 路 由 器 B 的 跳 数 比 路 由 器 A 路 由 表 中 当前 的 路 径 跳 数 
大 ， 经 过 路 由 器 B 的 路 径 就 不 会 被 使 用 ， 路 由 需 A 继 续 使 用 自己 路 由 表 
中 保存 的 路 径 。 

随 着 每 一 轮 路 由 表 的 更 新 ， 路 由 器 对 网 络 的 了 解 越 来 越 全 面 。 关 于 
路 由 的 信息 逐渐 散布 到 整个 网 络 。 假 设 网 络 不 发 生 改 变 ， 路 由 器 就 会 最 
终了 解 到 通 回 每 个 网 段 的 最 高 效 的 路 径 。 

图 8.8 所 示 为 一 个 距离 天 量 路 由 更 新 的 例子 。 注 意 到 在 这 一 时 刻 ， 
己 经 发 生 过 了 一 些 更 新 ， 因 为 路 由 器 A 和 路 由 需 B 都 已 经 了 解 到 没有 和 直 
连 的 网 段 。 在 这 种 情况 下 ， 路 由 器 B 具 有 通 向 网 络 14 的 更 优 路 径 ， 所 以 
路 由 喜 A 就 更 新 自己 的 路 由 表 ， 把 发 往 网 络 14 的 数据 转发 给 路 由 需 B。 
对 于 网 络 7 来 说 ， 路 由 器 A 己 经 掌握 的 路 径 更 好 ， 所 以 路 由 表 中 相应 的 
内 容 没 有 改变 。 

2. 链 路 状态 路 由 

在 假定 路 径 效率 等 同 于 经 过 的 路 由 需 数 量 时 ， 距 离 天 量 路 由 是 个 很 
好 的 方法 。 这 种 假设 的 初衷 很 好 ， 但 在 有 些 情况 下 过 于 简单 了 《即使 在 
跳 数 一 样 的 情况 下 ， 经 过 低速 链 路 的 路 由 也 会 比 经 过 高 速 链 路 的 慢 ) 。 
为 外 ， 距 离 矢 量 路 由 并 不 特别 适用 于 具有 大 量 路 由 器 的 环境 ， 因 为 每 台 
路 由 器 为 每 个 目的 网 段 都 必须 维护 一 个 路 由 条 目 ， 而 这 些 条 目 不 过 是 矢 
量 和 跳 数 。 路 由 器 无 法 充分 利用 对 网 络 结构 的 更 多 了 解 来 提升 其 效率 。 
而 且 ， 即 使 在 大 量 信息 都 不 必要 的 情况 下 ， 包 含 距 离 和 跳 数 的 完整 表格 
必须 在 路 由 器 之 间 进 行 传输 。 计 算 机 科学 家 开始 思考 能 人 否 做 得 更 好 ， 由 
此 诞生 了 链 路 状态 路 由 ， 而 且 它 已 经 成 为 距离 矢量 路 由 的 主要 对 手 。 

















路 由 器 A 的 路 由 表 





图 8.8 距离 矢量 路 由 更 新 


连接 状态 路 由 背后 的 理念 在 于 每 个 路 由 霹 都 尝试 建立 关于 网 络 拓扑 
的 内 部 映射 。 每 合 路 由 器 定期 癌 网 络 发 送 状态 信息 ， 其 中 列 出 了 目 己 和 直 
连 的 其 他 路 由 器 以 及 链 路 的 状态 〈 链 路 在 当前 是 否 可 用 〉 。 路 由 器 利用 
从 其 他 路 由 回收 到 的 状态 消息 建立 网 络 拓扑 的 映射 ， 当 它 需 要 转发 数据 
报时 ， 会 根据 现 有 条 件 选择 最 佳 路 径 。 





连接 状态 路 由 在 每 人 台 路 由 器 上 都 需 要 更 多 的 处 理 时 间 ， 但 带宽 消耗 
减少 ， 因 为 每 合 路 由 需 不 需要 传播 完整 的 路 由 表 。 兄 外， 通过 网 络 奶 踪 
故障 更 容易 了 ， 因 为 特定 路 由 器 发 出 的 状态 消息 在 网 络 上 传输 时 不 会 被 
改变 《而 在 另 一 方面 ， 使 用 距离 天 量 路 由 方法 的 路 由 融会 在 收 到 路 由 消 
奶 时 修改 其 中 的 跳 数 ) 。 











本 章 前 面 主要 讲解 单个 路 由 器 或 一 组 路 由 器 ， 而 实际 上 大 型 网 络 上 
可 能 包含 数 以 百 计 的 路 由 器 ，Internet 则 包含 着 数 以 千 计 的 路 由 器 。 在 
像 Internet 这 样 的 大 型 网 络 上 ， 让 全 部 路 由 器 都 共享 前 面 所 述 路 由 方法 
所 需 的 所 有 信息 是 不 太 可 能 的 。 如 果 每 台 路 由 上 右 都 处 理 Intemet 上 其 他 所 
有 路 由 器 的 路 由 信息 ， 路 由 协议 的 流量 和 路 由 表 的 规模 很 快 束 会 让 整个 
系统 骨 沉 。 对 于 Intermmet 上 的 路 由 右 来 说 ， 并 不 是 每 台 路 由 器 都 需要 知道 
其 他 所 有 路 由 器 的 信息 。 比 如 伊斯坦布尔 一 个 牙医 办 公 室 的 路 由 器 不 必 
了 解 秘鲁 利 马 油 潜 广 的 路 由 器 ， 也 一 样 能 够 长 年 正 稼 工作。 在 网 络 有 效 
组 织 的 情况 下 ， 大 多 数 路 由 器 只 需要 与 相 邻 路 由 右 交 互 协 议 信 息 即 可 。 

在 孕育 了 Internet 的 ARPAnet 系 统 中 ， 一 小 组 核心 路 由 器 作为 网 络 互 
联 的 中 央 上 骨干 网 ， 把 上 自动 配置 和 管理 的 独立 网 络 连接 在 一 起 。 核 心路 由 
器 了 解 每 个 网 络 ， 但 不 必 知 道 每 个 子 网 。 只 要 数据 报 能 够 找到 到 达 核 心 
路 由 器 的 路 径 ， 束 能 够 到 达 整 个 网 络 的 任何 位 置 。 附 属 网 络 中 的 路 由 右 
不 必 了 解 世 界 上 的 全 部 网 络 ， 只 需要 知道 如 何在 相 邻 路 由 右 之 间 如 何 传 
输 数 据 和 如 何 到 达 核 心路 由 器 即 可 。 

这 个 系统 发 展 为 第 17 章 将 要 讲 到 的 复杂 的 现代 Internet。 

Internet 由 各 个 独 目 管理 的 网 络 组 成 ， 这 些 网 络 成 为 自治 系统 。 目 治 
系统 可 以 是 个 公司 网 络 ， 但 目前 更 常见 的 是 与 Internet 服 务 供应 丙 
(ISP〉 相 关联 的 网 络 。 上 自治 系统 的 所 有 者 管理 每 台 路 由 器 的 配置 细 
节 。 大 多 数 路 由 器 按照 如 下 的 通用 分 类 进行 职责 划分 ， 尽 管 一 台 路 由 器 
可 以 充当 多 种 职责 ， 但 是 路 由 器 所 使 用 的 人 硬件， 尤其 是 协议 ， 确 定 了 它 
在 网 络 中 的 职责 。 

> 外 部 路 由 器 : 外 部 路 由 器 在 目 治 网 络 之 间 交 换 路 由 信息 ， 它 们 
维护 目 己 及 邻居 目 治 网 络 的 路 由 人 信息。 边界 路 由 器 传统 上 使 用 外 部 网 关 
协议 (EGP〉， 实 际 的 EGP 现在 已 经 过 时 ， 但 外 部 路 由 器 使 用 的 新 路 
由 协议 一 般 也 被 称 为 EGP。 现 在 流行 的 一 种 EGP 是 边界 网 关 协 议 
CBGP) 。 外 部 路 由 器 通常 也 作为 上 自治 网 络 的 内 部 路 由 器 。 

> 内 部 路 由 器 : 上 自治 网 络 内 部 共享 路 由 信息 的 路 由 器 被 称 为 内 部 
网 关 ， 它 们 使 用 被 称 为 内 部 网 关 协 议 〈IGP) 的 一 组 路 由 协议 ， 包 括 路 














由 信息 协议 CRIP) 、 开 放 最 短路 径 优先 〈OSPF) 。 本 章 后 面 会 介绍 这 
两 个 协议 。 

> 核心 路 由 器 : 尽管 最 初 的 ARPAnet 骨 于 网 不 再 作为 Internet 的 中 
心 而 而 出 现 ， 但 是 自治 系统 有 时 会 构建 自己 的 骨干 结构 ， 以 细 分 和 隔离 流 

。 核 心路 由 器 支持 骨干 系统 。 核 心路 由 器 使 用 的 路 由 协议 包括 网 关 到 
网 凑 CGGP) ， 以 及 新 出 现 的 SPREAD 协 议 。 

要 说 明 的 是 ， 自治 网 络 内 部 的 路 由 器 也 可 能 分 层次 进行 配置。 

个 大 型 自治 网 络 可 有 Eb 包 含 多 组 内 部 路 由 器 ， 并 利用 外 部 路 由 器 传递 这 些 
内 部 组 之 间 的 路 由 信息 。 自 洽 网 络 的 管理 者 可 以 根据 需要 设计 路 由 器 配 
置 ， 并 且 相 应 地 选择 路 由 协议 。 


8.3 内 部 路 由 器 


本 章 前 面 讲 到 ， 内 部 路 由 器 工作 于 自治 网 络 的 内 部 ， 它 会 掌握 自己 
ee 连接 的 网 段 信 息 ， 但 不 需要 完整 了 解 自 治 系统 之 外 的 

内 部 路 由 协议 有 多 种 ， 网 络 管理 员 必 须根 据 网 络 情况 和 网 络 硬件 兼 
容 性 选择 内 部 路 由 协议 。 下 面 的 小 节 介 绍 两 种 重要 的 内 部 路 由 协议 : 路 
由 信息 协议 CRIP) 和 开放 最 短路 径 优先 〈OSPEF) 。 

RIP 是 一 种 距离 矢量 协议 ， 而 OSPF 是 一 种 链 路 状态 协议 ， 实 际 的 协 
议 实 现 都 需要 解决 一 些 细 节 问 题 。 

注意 : 多 协议 

本 # 者 支持 多 种 路 由 协议 。 














RIP 是 一 i 这 表示 它 根 据 跳 数 来 判断 到 达 目 的 的 最 
佳 路 由 。RIP 由 加 州 大 学 伯 元 利 分 校 开 友 ， 最 初 随 着 UNIX 的 “伯克利 
系统 设计 (BSD) ”版 本 的 传播 而 流行 。RIP 曾 经 非常 流行 ， 虽 然 现 在 被 
认为 有 些 过 时 ， 但 仍然 被 广泛 使 用 。RIP II 标准 的 出 现 解决 了 RIP I 存在 
的 一 些 问 题 ， 现 在 很 多 路 由 喜 都 支持 RIP II 和 RIP I。RIP II 针对 IPv6 网 
络 的 扩展 被 称 为 RIPng。 

注意 : RIP 路 由 

RIP 在 UNIX 和 Linux 上 是 通过 routed daemon 实 现 的 。 

本 章 前 面 讲 到 ， 作 为 一 种 距离 矢量 协议 ，RIP 需要 路 由 器 收听 和 集 
成 来 自 其 他 路 由 器 的 路 由 和 跳 数 信息 。RIP 的 参与 者 被 划分 为 主动 和 被 
动 两 种 。 主 动 RIP 节 点 通常 是 参与 正常 的 距离 矢量 数据 交换 过 程 的 路 由 
和 Ce 并 且 收 听 来 自 其 他 路 由 器 
的 更 新 信息 。 被 动 RIP 节 点 只 收听 路 更 新 信息 ， 不 传播 自己 的 路 由 表 ， 





其 典型 代表 就 是 普通 计算 机 〈 主 机 也 需要 路 由 表 ) 。 

根据 前 面 对 距 离 矢 量 路 由 的 介绍 ， 有 人 也 许 会 问 ， 如果 接收 到 的 跳 
数 进 行 处 理 后 正好 与 路 由 表 中 保存 的 跳 数 一 样 ， 那 会 怎么 样 呢 ? 对 于 
RIP 来 说 ， 如 果 到 达 同 一 目的 的 两 条 路 径 具 有 相同 的 跳 数 ， 会 使 用 路 由 
en 
仆人 和 修 改 。 

RIP 路 由 器 每 30 秒 广播 一 次 更 新 消息 ， 它 还 可 以 要 求 立即 更 新 。 像 
其 他 距离 矢量 协议 一 样 ， 当 网 络 处 于 平衡 状态 时 ，RIP 工作 效果 最 好 。 
如 果 路 由 器 的 数量 变 得 非常 大 ， 路 由 表 的 缓慢 收敛 束 可 能 导致 问题 。 出 
于 这 个 原因 ，RIP 设置 了 从 第 一 台 路 由 器 到 达 目 的 的 最 大 跳 数 限制 ， 其 
值 是 15。 这 个 规定 限制 了 路 由 器 组 的 数量 ， 但 如 果 以 层级 方式 组 织 路 由 
器 ，15 跳 范围 之 内 也 可 以 组 成 大 型 网 络 。 

虽然 距离 矢量 方法 没有 特别 考虑 线路 速度 和 物理 网 络 类 型 的 问题 ， 
但 RIP 允 许 网 络 管理 员 以 手动 方式 把 低速 路 径 的 跳 数 设置 得 很 大 ， 从 而 
影响 实际 的 路 由 选择 。 

古老 的 RIP 协 议 逐 渐 被 新 的 路 由 协议 所 取代 ， 比 如 下 面 要 介绍 的 
OSPF。 

8.3.2 开放 最 短路 径 优 先 〈OSPE ) 


OSPF 是 比较 新 的 内 部 路 由 协议 ， 正 在 逐渐 取代 RIP。OSPF 是 个 链 
路 状态 协议 ， 最 早出 现 于 1989 年 的 RFC 1131， 之 后 又 进行 了 多 次 更 
新 。RFC 2328 对 应 OSPF 版 本 2， 之 后 的 RFC 又 添加 了 扩展 。RFC 2740 
定义 了 OSPF 版 本 3， 它 支持 IPv6 网 络 ， 但 是 后 来 又 被 RFC 5340 取 代 。 

OSPF 路 由 器 组 中 的 每 台 路 由 器 都 被 指定 一 个 路 由 器 ID， 通 常 是 与 
路 由 器 相关 联 的 最 大 IP 地 址 (如 果 路 由 器 使 用 了 一 个 环 回 接口 ， 路 由 器 
ID 就 是 最 大 的 环 回 地 址 〉。 

本 章 前 面 讲 到 ， 链 路 状态 路 由 器 会 建立 网 络 拓扑 的 一 个 内 部 映射 ， 
利用 路 由 器 ID 来 鉴别 拓扑 里 的 路 由 器 。 每 台 路 由 器 都 把 网 络 描绘 为 一 
个 树 形 ， 上 自己 位 于 树 的 根部 。 这 个 网 络 树 被 称 为 最 短路 径 树 〈SPT) ， 
通过 网 络 的 路 径 就 对 应 于 通过 SPT 的 路 径 。 路 由 器 计算 每 个 路 由 的 开 
人 

















8.4 外 部 路 由 器 : BGP 


第 17 章 将 会 详细 讲解 Internet 的 结构 ， 但 是 现在 ， 我 们 只 需要 知道 
Intermet 是 由 大 量 的 自治 系统 的 内 部 路 笃 、 自 治 系 统 之 间 的 路 径 ， 以 及 罕 
越 自 治 系 统 的 见 余 路 径 组 成 的 即 可 。 





本 章 前 面 讲 到 ， 外 部 路 由 器 在 自治 系统 网 络 中 传输 流量 时 发 挥 了 重 
要 的 作用 。 如 今 Intemet 上 的 外 部 路 由 器 所 以 使 用 的 最 常见 协议 是 边界 网 
关 协 议 (BGP)。BGP 已 经 有 过 多 次 修改 ， 其 最 新 的 版 本 是 BGP 4， 在 
RRC 4271 中 定义 。 

实际 上 ，BGP 用 途 广 泛 ， 可 以 用 作 自 治 系 统 内 的 内 部 协议 ， 将 网 络 
细 分 为 更 小 的 区 域 。 在 自治 系统 的 边缘 使 用 的 BGP 版 本 被 称 为 外 部 边界 
网 关 路 由 协议 (eBGP)〉 ， 它 将 消息 从 一 个 自治 系统 传输 到 另外 一 个 自 
治 系 统 。 在 自治 系统 内 部 使 用 的 BGP 称 为 内 部 边界 网 关 协 议 
(iBGP) 。 

BGP 相 当 人 健壮， 而 且 具 有 可 扩展 性 。 本 章 前面 讲 到 ，BGP 取 代 了 早 
期 的 外 部 协议 ， 只 目的 就 是 为 当今 的 Internet 提 供 服 务 。 实 际 上 ， 如 果 没 
有 BGP， 则 当今 的 Internet 也 就 不 复 存 在 。 尺 管 现在 有 关 BGP 路 由 表 数 
量 的 报告 各 不 相同 ， 但 是 在 最 近 几 年 ，BGP 路 由 表 的 规模 一 直 在 以 指数 
级 进行 增长 ， 现 在 其 路 由 条 目 已 经 远 超 300000 条 。 

IANA 为 每 一 个 上 自治 系统 分 派 了 一 个 唯一 的 数值 ， 称 之 为 AS 号 或 
ASN。BGP 使 用 这 些 ASs 号 来 构建 Internet 的 映射 ， 并 将 基于 CIDR 的 无 类 
别 耳 地址 与 穿越 自治 系统 的 路 由 关联 起 来 。ASN 提 供 了 一 种 方法 来 识别 
网 络 是 否 独 立 于 特定 的 IP 地 址 (或 地 址 范围 ) 。 该 方法 提供 了 去 往 自治 
系统 的 元 余 路 径 “〈 与 通过 IP 地 址 空间 的 单条 路 径 相 对 ) 但 是 由 于 ASN 不 
是 分 层次 的 ， 因 此 BGP 路 由 器 必须 知道 网 络 中 的 所 有 其 他 BGP 路 由 器 。 

注意 : 公共 ASN 和 私有 ASN 

iBGP 主 要 用 于 在 自治 系统 的 内 部 来 路 由 流量 ， 它 不 需要 IANA 分 配 
的 公共 ASN。 内 部 BGP 路 由 器 使 用 私有 ASN 来 转发 流量 ， 因 此 不 会 将 流 
量 转发 到 自治 系统 之 外 。 

BGP 路 由 器 使 用 可 靠 的 TCP 连接 来 传递 与 地 址 范围 相关 的 信息 ， 
并 构建 用 来 描述 网 络 路 径 的 ASN 链 。BGP 协 议 包 括 大 量 用 于 路 径 发 现 的 
条 款 (provision) ， 以 及 从 多 个 选择 中 选取 最 高 效 路 径 的 技术 。 

如 果 你 不 是 供职 于 ISP 或 大 型 公司 的 开 部 门 ， 则 不 会 直接 与 BGP 打 
2 但 是 具有 一 定 的 BGP 背 景 知 识 对 理解 Internet 的 构架 还 是 很 有 好 处 


8.5 无 类 别 吕 


在 第 4 章 和 第 5 章 讲 到 ，TCP/IP 路 由 系统 是 围绕 网 络 ID 的 概念 设计 
的 ， 而 网 络 ID 是 基于 IP 地 址 的 地 址 类 别 CA、B 或 C) 。 在 第 5 章 讲 到 ， 
这 个 地 址 分 类 系统 有 一 些 局 限 性 ， 有 时 并 不 能 有 效 地 把 一 段 地 址 指定 给 
一 个 供应 商 。“ 无 类 别 域 间 路 由 (CIDR) ”提供 了 指定 地 址 和 确定 路 由 























的 另 一 种 方法 。CIDR 系统 利用 地 址 / 掩 码 对 来 指定 主机 ， 比 如 
204.21.128.0/17， 掩 码 数 字 表 示 地 址 中 有 多 少 位 是 属于 网 络 ID 的 。 

如 果 路 由 协议 支持 CIDR， 它 会 提供 更 有 效 的 路 由 。CIDR 让 路 由 右 
能 够 把 多 类 网 络 同等 对 待 ， 从 而 减少 了 路 由 器 之 间 要 传输 的 信息 。 最 近 
一 些 路 由 协议 ， 比 如 OSPF 和 BGP4， 都 支持 无 类 别 寻 址 。 最 初 的 RIP 不 
支持 CIDR， 但 随后 的 RIP II 更 新 支持 CIDR。 














目 从 第 一 合 路 由 器 出 现 之 后 ， 硬 件 和 软件 都 逐渐 变 得 越 来 越 复杂 。 
几 年 前 ， 人 硬件 广 商 开始 意识 到 在 协议 栈 更 高 层 转 发 和 过 滤 流 量 的 好 处 。 

从 第 2 章 到 第 7 章 的 学 习 中 我 们 知道 ， 协 议 栈 中 的 每 一 层 都 提供 了 不 
同 的 服务 ， 并 且 在 其 报头 中 封装 了 不 同 的 信息 。 能 够 访问 更 高 层 协 的 路 
由 需 可 以 根据 更 多 的 信息 来 决定 路 由 。 例 如 ， 工 作 于 传输 层 的 路 由 峰 能 
够 根据 源 端 口 和 目的 端口 推断 数据 的 特性 ， 而 工作 于 应 用 层 的 路 由 右 可 
以 更 详细 地 了 解 发 送 数 据 的 应 用 程序 和 应 用 程序 所 使 用 的 协议 。 

工作 于 更 高 层 的 路 由 器 有 很 多 优点 ， 比 如 更 好 的 安全 性 。 使 用 这 种 
技术 的 男 一 个 重要 原因 是 服务 质量 (QoS) 的 概念 。 有 些 类 型 的 数据 ， 
比如 来 自 于 Internet 电 话 客户 的 数据 包 ， 对 于 时 间 的 敏感 性 就 比 其 他 类 型 
的 数据 (比如 E-mail 数据 更 高 。 一 旦 连接 建立 之 后 ， 数 据 包 必须 在 一 
个 合理 的 时 间 内 到 达 ， 人 否则 通话 就 会 不 连贯 。 工 作 于 应 用 层 的 路 由 器 能 
够 根据 服务 质量 准则 优先 发 送 时 间 敏 感 的 数据 包 。 

第 13 章 将 讲 到 ， 新 的 IPv6 协 议 系统 提供 了 其 他 方法 来 满足 服务 质量 
的 要 求 ， 出 于 对 本 章 知识 的 要 求 ， 我 们 现在 只 需要 知道 很 多 复杂 的 现代 
ne 


这 些 路 由 器 通常 根据 OSI 参考 模型 进行 分 类 。 第 2 章 已 经 介绍 过 ， 
OSI 模 型 有 7 层 。 完 成 典型 IP 转 及 任务 的 路 由 器 工作 于 OSI 模 型 的 第 3 层 
《从 下 同上 数 ) ， 所 以 在 OSI 术语 中 ， 这 种 典型 路 由 需 被 称 为 第 3 层 路 由 
项 〈L3) 。 第 4 层 路 由 器 工作 于 传输 层 ， 而 第 7 层 路 由 融 工 作 于 OSI 模型 
的 最 高 屋 ， 掌 握 了 关于 参与 连接 的 应 用 程序 的 最 多 情况 。 


8.7 小 结 


本 章 详细 介绍 了 路 由 选择 ， 讨 论 了 距离 矢量 和 链 路 状态 路 由 方法 ， 
还 介绍 了 耳 转 发 、 核 心路 由 器 、 内 部 路 由 器 、 外 部 路 由 器 。 本 章 最 后 还 
讨论 了 两 种 常见 的 内 部 路 由 协议 : RIP 和 OSPF， 并 且 介 绍 了 在 高 层 协议 
实现 路 由 选择 的 概念 。 



































8.8 问 与 答 


问 : 为 了 充当 路 由 器 ， 为 什么 必须 为 计算 机 配置 IP 转 发 功能 ? 

答 : 路 由 器 接收 目的 地 址 不 是 自己 的 数据 报 。 通 常情 况 下 ，TCP/IP 
软件 会 忽略 不 是 发 给 自己 的 数据 报 。IP 转 发 提供 了 一 种 方式 来 接收 和 处 
理 必须 转发 到 其 他 网 络 的 数据 报 。 

问 : 大 型 网 络 为 什么 更 适合 使 用 链 路 状态 路 由 ? 

答 : 距离 矢量 路 由 的 效率 随 着 路 由 器 数量 的 增加 而 降低 ， 每 台 路 由 
器 都 必须 维护 一 个 完整 的 目的 表 ， 网 络 数据 在 传输 路 径 上 多 次 被 修改 。 
另外 ， 每 次 更 新 时 ， 即 使 大 多 数 数 据 都 不 变 ， 也 要 发 送 整个 路 由 表 。 

问 : 外 部 路 由 器 的 作用 是 什么 ? 

答 : 外 部 路 由 器 专门 用 于 自治 网 络 之 间 交 换 路 由 信息 ， 这 样 就 让 系 
统 中 的 其 他 路 由 器 不 必 考 虑 到 达 其 他 网 络 的 路 由 。 

问 : RIP 为 什么 将 最 大 跳 数 设置 为 15? 

答 : 如 果 路 由 器 的 数量 太 多 ， 比 较 绥 慢 的 路 由 收敛 会 导致 问题 。 
8.9 测验 

下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 则 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问 题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 

8.9.1 问题 

1. 有 哪 两 种 动态 路 由 ? 

2. 为 什么 路 由 器 必须 是 多 宿主 的 ? 

3. 外 部 路 由 器 使 用 的 最 常见 的 路 由 协议 是 什么 ? 

4. 无 类 别 路 由 的 效率 为 什么 格外 高 ? 

5. OSPF 属 于 哪 一 种 路 由 类 型 ? 

8.9.2 练习 


1. 列 出 当今 使 用 的 3 种 路 由 协议 。 
2. 解释 与 RIP 相 比 ，OSPF 如 何以 一 种 更 为 灵活 的 方法 来 选择 最 佳 


3， 列 举 静 态 路 由 的 优势 和 不 足 。 


8.10 关键 术语 





路 由 


复习 下 列 关 键 术 语 : 

> 目 治 系统 : 参与 到 更 大 网 络 的 网 络 ， 由 上 自治 实体 进行 维护 。 

> 边界 路 由 协议 〈BGP) : 用 来 在 目 治 系统 之 间 路 由 流量 的 协 
议 。BGP 也 可 以 用 作 目 治 系统 内 的 内 部 协议 。 

> 动态 路 由 : 一 种 路 由 技术 ， 路 由 器 基于 该 技术 获得 的 信息 来 构 
建 路 由 表 。 


人 目 治 系统 中 的 一 种 路 由 器 ， 与 其 他 自治 系统 传递 
路 由 信息 。 

> 非 直 连 路 由 : 位 于 两 个 不 是 直接 连接 的 网 络 中 的 路 由 。 

> 内 部 路 由 器 : 目 治 系统 内 部 的 路 由 器 ， 与 系统 内 的 其 他 路 由 需 
交换 路 由 信息 。 

> IP 转 发 : 把 了 下 数据 报 从 同一 台 设 备 的 一 个 网 络 接口 传递 到 另 一 
个 网 络 接口 的 过 程 。 


> OSPF 开放 最 短路 径 优先 ) : 一 种 常见 的 链 路 状态 内 部 路 由 协 
议 。 





> RIP〈 路 由 信息 协议 ) ， 一 种 常见 的 距离 矢量 内 部 路 由 协议 。 
> 路 由 协议 ， 路 由 器 用 于 汇集 路 由 信息 的 协议 。 
> SPT (最 短路 径 树 ) : OSPF 路 由 器 生成 的 一 种 树 形 网 络 映射 。 
> 静态 路 由 ， 需 要 网 络 管理 员 手 动 输入 路 由 信息 的 一 种 路 由 技 


第 9 前 连 网 


本 章 介 绍 如 下 内 容 : 

> 拨号 连接 ; 

宽带 技术 ， 比 如 电缆 和 DSL; 
> 广域网 ; 


> 无 线 网 络 连 接 ; 

> 连接 设备 。 

前 面 介 绍 过 ， 网 络 访问 层 管理 与 物理 网 络 的 接口 ， 但 是 物理 网 络 到 
底 是 什么 呢 ? 在 位 、 字 节 、 端 口 和 协议 层 这 些 概 念 之 后 ，Internet 连 接 需 
要 某 种 形式 的 设备 把 计算 机 或 本 地 网 段 连接 到 更 大 的 网 络 上 。 本 章 束 介 
绍 访问 TCP/IP 网 络 所 用 的 一 些 设备 和 过 程 。 

学 完 本 章 后 ， 你 可 以 : 

> 描述 计算 机 如 何 使 用 拨号 连接 在 电话 线 上 进行 通信 ; 


理解 电缆 宽带 的 基础 概念 ; 

讨论 DSL 的 特性 ; 

描述 无 线 网 络 的 拓扑 ， 以 及 无 线 安全 方案 〈 比 如 WEP 和 
WEPA) 的 元 素 和 功能 。 
本 章 还 介绍 了 TCP/IP 网 络 常用 的 连接 设备 ， 比 如 交换 机 、HUB 和 网 


在 学 习 本 章 的 过 程 中 ， 要 记 住 这 些 基于 硬件 的 技术 位 于 TCP/IP 协 议 
栈 的 最 底层 (OSI 栈 的 第 1 层 和 第 2 层 ) ， 而 且 它 们 对 位 于 高 层 的 协议 和 
应 用 程序 而 言 ， 是 不 可 见 的 。Web 浏 览 无 论 连接 的 是 交换 机 、 电 缆 调 制 
解 调 器 、 数 字 用 户 线路 (DSL) 还 是 无 线 AP， 它 始终 都 是 Web 浏 览 器 。 


9.1 拨号 连接 


在 不 久 前 ， 连 接 TCP/IP 网 络 ( 比 如 Internet〉 的 一 种 最 常用 的 方式 是 
通过 电话 线 ， 而 在 最 近 几 年 ， 像 电费 调制 解 调 器 和 DSL 这 样 的 宽带 技术 
降低 了 拨号 连接 的 重要 性 ， 但 很 多 计算 机 仍然 支持 拨号 连接 ， 而 且 电 话 
调制 解 调 器 在 很 多 领域 仍然 是 重要 的 连接 工具 。 

调制 解 调 器 (modem) 通过 电话 线 提供 网 络 访问 ， 它 是 
MOdulate/DEModulate (调制 器 / 解 调 器 的 缩写 。 工 程 师 们 生产 调制 解 调 
器 的 原因 很 简单 ， 他 们 发 现 利 用 世界 上 最 广泛 分 布 的 传输 介质 全 球 
电话 系统 一 一 为 计算 机 提供 通信 有 很 多 好 处 。 最 近 这 些 年 ， 电 话 线 已 经 
发 展 得 非常 复杂 了 ， 有 些 线路 现在 能 够 传递 数字 化 数据 ， 而 有 些 不 行 。 
但 无 论 是 何 种 线路 ， 即 使 是 数字 电话 系统 ， 也 不 是 为 了 处 理 像 TCP/IP 这 
样 的 网 络 协 议 而 设计 的 。 调 制 解 调 器 的 作用 在 于 把 来 自 于 计算 机 的 数字 
传输 转化 为 能 够 通过 电话 系统 的 端口 进行 传输 的 模拟 信号 ， 同 时 也 把 来 
自 电话 线 的 模拟 信和 号 转化 为 计算 机 能 够 理解 的 数字 信和 号 。 

9.1.1 点 到 点 连接 

第 3 章 讲 到 ， 像 以 太 网 这 样 的 局 域 网 使 用 精致 的 访问 策略 让 计算 机 
共享 网 络 介 质 。 与 之 相反 的 是 ， 电 话 线 两 端的 计算 机 不 需要 与 其 他 计算 
机 人 争 用 传输 介质 ， 它 们 只 需 在 彼此 之 间 共 享 介 质 就 可 以 了 。 这 种 连接 方 
式 被 称 为 点 到 点 连接 〈 见 图 9.1) 。 





























图 9.1 A point-to-point connection 


点 到 点 连接 比 基 于 局 域 网 的 配置 要 简单， 因为 它 不 需要 具备 让 多 台 
计算 机 共享 传输 介质 的 方法 。 同 时 ， 通 过 电话 线 的 连接 也 有 一 些 局 限 
性 ， 最 大 的 局 限 之 一 是 电话 连接 的 传输 速率 比 局 域 刚 (比如 以 太 网 ) 要 
低 得 多 ， 这 导致 它 使 用 的 协议 相当 人 简单 ， 越 简单 越 好 。 但 是 ， 随 着 调制 
解 调 堪 的 速度 越 来 越 高 ， 调 制 解 调 咒 协议 已 经 承担 了 额外 的 职责 

拨号 协议 的 男 一 个 巨大 挑战 是 要 支持 大 量 不 同类 型 的 硬件 与 软件 配 
置 。 在 局 域 网 上 ， 系 统管 理 员 监视 和 控制 每 台 计 算 机 的 配置 ， 协 议 系 统 
依赖 于 通信 设备 之 间 的 高 度 一 致 性 。 拨 号 连接 却 与 之 不 同 ， 它 几乎 可 能 
CE 
三 这 有 异性 


























这 种 只 涉及 两 台 计算 机 的 点 到 点 连接 也 需要 复杂 的 TCP/P 栈 来 建立 
连接 吗 ? 答案 案 是 “不 ”。 

时 期 的 调制 解 调 器 协议 只 不 过 是 一 种 在 电话 线 传输 信息 的 方法 ， 在 
这 种 情况 下 ，TCP/IP 的 逻辑 寻 址 和 网 间 错误 控制 就 是 没有 必要 的 。 随 看 
局 域 网 和 Internet 的 出 现 ， 工 程 师 们 开始 考虑 让 拨号 连接 作为 提供 网 络 
访问 的 一 种 方式 。 这 种 远程 网 络 访问 概念 的 第 一 个 实现 是 对 早期 调制 解 
调 器 协议 的 扩展 ， 在 这 种 最 初 的 主机 拨号 方案 中 ， ee 
负责 为 网 络 准备 数 据 。 无 论 是 显 式 的 还 是 隐 式 的 ， 远 程 计算 机 都 像 是 
终端 〈 见 图 9.2) ， Ds a re 
器 线路 执行 连 网 任务 、 “~ 

然而 ， 这 些 早 期 主机 拨号 方案 有 一 些 局 限 性 。 它 们 反映 了 早期 的 中 
心 化 计算 模式 ， 对 提供 网 络 还 伏 的 计算 机 要 求 过 多 “在 图 9 了 所 示 的 本 
置 中 ， 想 象 一 下 如 果 多 全 计算 机 同步 连接 到 拨号 服务 融会 怎么 样 ) ， 而 
且 也 不 能 充分 发 挥 远 程 计算 机 的 处 理 能 

随 着 TCPHIP 和 其 他 可 路 由 协议 的 出 现 ， 设 计 人 员 构想 出 另 一 种 解决 
方案 ， 让 远程 计 复 机 负责 更 多 的 连 网 任务 ， 而 让 拨 吕 服 务 器 肥 挥 基 似 路 
由 堪 的 作用 。 这 种 方案 〈 见 图 9.3) 与 新 式 的 、 弱 中 心 化 的 计算 机 网 络 
模式 更 一 致 ， 也 接近 于 ITCP/P 的 本 质 特 征 。 在 这 种 安排 下 ， 远 程 计 算 机 
运行 目 己 的 协议 栈 ， 让 调制 解 调 器 协议 工作 于 网 络 访问 屋 ， 拨 号 服务 器 
接收 数据 并 路 由 到 更 大 的 网 络 。 
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图 9.2 早期 的 主机 拨号 配置 
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网 络 
图 9.3 真实 的 TCP/IP 拨号 连接 


这 样 一 来 ， 拨 号 协议 直接 与 TCP/IP 配合 工作 ， 并 成 为 协议 中 的 集 


成 部 分 。 最 常见 的 两 个 TCP/IP 调 制 解 调 器 协议 如 下 所 示 。 


> 上 串 行 线路 网 际 协议 (SLIP，: 基于 TCP/IP 的 早期 调制 解 调 器 协 


议 ， 相 对 简单 ， 有 很 多 局 限 性 。 


> 点 到 点 协议 (PPP) : 最 初 当前 用 于 调制 解 调 需 连接 的 最 流行 


协议 ， 是 对 SLIP 的 细 化 ， 具 有 SLIP 所 不 具备 的 很 多 重要 特性 。 


PPP 已 经 取代 SLIP 成 为 拨号 Internet 连 接 的 协议 ， 下 面 将 更 细 致 地 讨 


论 PPP 。 


注意 : 低层 协议 
SLIP 和 PPP 都 建立 于 更 低级 的 串 行 通信 协议 上 ， 后 者 负责 信号 调制 











和 解 调 的 具体 细 久 。 这 些 串 行 通信 协议 提供 了 OSI 模 型 中 物理 层 的 功 
能 。 


9.1.3 点 到 点 协议 (PPP) 


当 专 家 开始 设计 PPP 标 准时 ， 对 正在 出 现 的 Internet 需 要 哪些 特性 有 
了 更 好 的 理解 ， 也 知道 调制 解 调 器 和 电话 线 的 速率 越 来 越 快 ， 能 够 承受 
更 多 的 协议 开销 。PPP 的 设计 目标 是 解决 SLIP 存 在 的 一 些 缺 点 。 

PPP 的 设计 人 员 还 希望 PPP 能 够 在 连接 建立 初期 进行 动态 协商 配 
置 ， 并 且 能 够 在 会 话 过 程 中 管理 通信 计算 机 之 间 的 链 路 。 

PPP 实 际 上 是 交互 作用 的 一 组 协议 ， 实 现 基于 调制 解 调 器 连 网 所 需 
的 全 部 功能 。PPP 的 设计 经 历 了 一 系列 的 RFC， 目 前 的 PPP 标 准 是 RFC 
1661， 随 后 的 文档 将 PPP 组 件 进 行 了 阐述 和 扩展 。RFC 1661 把 PPP 组 件 
划分 为 3 大 类 。 

> 封装 多 协议 数据 报 的 方法 : SLIP 和 PPP 都 能 接受 数据 报 ， 转 换 
为 适合 Internet 的 形式 。 但 PPP 与 SLIP 不 同 的 是 ， 它 还 必须 准备 接受 来 自 
不 同 协议 系统 的 数据 报 。 

二 建立、 配置 和 测试 连接 的 链接 控制 协议 〈LCP) : PPP 能 够 通 
过 协商 方式 进行 配置 ， 从 而 消除 了 SLIP 连 接 遇 到 的 兼容 问题 。 

> 文 持 高 层 协 议 系 统 的 网 络 控制 协议 CNCP) 徐 : PPP 可 以 包含 
不 同 的 子 屋 ， 从 而 为 TCP/IP 和 其 他 网 络 协议 提供 单独 的 接口 。 

PPP 的 大 部 分 功能 来 自 于 建立 、 管 理 和 终止 连接 的 LCP 功 能 。 

1. PPP 数 据 

PPP〈 以 及 SLIP〉 的 主要 用 途 是 转发 数据 报 ， 其 难点 在 于 它 必须 能 
够 转发 多 种 类 型 的 数据 报 ， 也 就 是 说 ， 数 据 报 可 能 是 IP 数 据 报 或 OSI 模 
型 中 网 络 层 的 其 他 数据 报 。 

注意 : 数据 包 

PPP RFC 使 用 术语 “数据 包 (packet) ”来 描述 在 PPP 帧 中 传输 的 数 
据 。 数 据 包 可 以 由 IP (或 其 他 高 层 协议 ) 数据 报 组 成 ， 也 可 以 由 通过 
PPP 进 行 操作 的 其 他 协议 的 数据 组 成 。“ 数 据 包 ” 这 个 词 在 整个 网 络 界 用 
于 表示 经 过 网 络 传输 的 数据 ， 它 并 不 是 很 严密 的 术语 。 本 书 中 大 部 分 内 
容 会 使 用 更 精确 的 术语 ， 比 如 “数据 报 (datagram) ”。 但 是 ， 并 不 是 所 
有 的 PPP 数 据 包 都 是 数据 报 ， 所 以 为 与 RFC 保 持 一 致 ， 本 章 课程 用 术 
语 “ 数 据 包 ” 表 示 经 过 PPP 传 输 的 数据 。 

PPP 也 要 转发 与 自己 协议 相关 的 信息 ， 这 些 协议 的 作用 是 建立 和 管 
理 调制 解 调 器 连接 。 通 信 设 备 在 PPP 连 接 过 程 中 ， 会 交换 多 种 类 型 的 消 
上 息 和 请 求 。 通 信 计 算 机 必须 交换 用 于 建立 、 管 理 和 关闭 连接 的 LCP 数 据 
包 ， 支 持 PPP 身 份 验证 功能 〈 可 选 ) 的 验证 数据 包 ， 与 各 种 协议 簇 通 信 

















的 NCP 数 据 包 。 在 连接 初期 交换 的 LCP 数 据 配置 用 于 全 部 协议 共同 的 连 
接 参 数 ，NCP 协 议 配置 与 特定 协议 簇 相关 的 参数 。 
PPP 帧 的 数据 格式 如 图 9.4 所 示 ， 其 中 包括 如 下 字段 。 


办 议 : 封装 Ee 





图 9.4 PPP 数 据 格式 


> 协议 : 1 或 2 字 节 的 字段 ， 提 供 代表 被 封装 数据 包 协 议 类 型 的 标 
识 号 。 可 能 的 类 型 包括 LCP 数 据 包 、NCP 数 据 包 、IP 数 据 包 和 OSI 模 型 
网 络 层 协议 数据 包 。ICANN 人 负责 规定 各 种 协议 类 型 的 标准 标识 号 码 。 
E000 0 00 

> 填充 〈 可 选 ， 长 度 不 定 ) : 协议 字段 指定 的 协议 所 需 的 额外 字 
节 。 每 个 协议 自己 负责 区 分 填充 字 节 与 被 封装 的 数据 报 。 

2. PPP 连 接 

PPP 连 接 的 过 程 如 下 所 示 。 

1. 使 用 LCP 协 商 过 程 建立 连接 。 

2. 如 果 第 1 步 的 协商 过 程 指 定 了 身份 验证 要 求 ， 通 信 计 算 机 束 进 入 
身份 验证 阶段 。RFC1661 提 供 了 密码 验证 协议 (PAP) 和 挑战 握手 验证 
协议 〈CHAP) 这 两 个 可 选 的 验证 选项 。PPP 还 支持 其 他 身份 验证 协 
1 

3. PPP 利 用 NCP 数 据 包 指定 与 特定 协议 相关 的 配置 信息 。 

4. PPP 传 输 从 高 层 协 议 接收 到 的 数据 。 如 果 第 1 步 的 协商 过 程 指 定 
了 链接 质量 监视 ， 监 视 协 议 束 会 传输 监视 信息 。NCP 还 可 能 传输 与 特定 
协议 相关 的 信息 。 

5. PPP 交 换 LCP 终 止 数据 包 来 关闭 连接 。 


9.2 电 统 宽 种 














Internet 服 务 的 需求 ， 以 及 不 断 增强 的 计算 机 系统 的 能 力 ， 促 使 业界 
寻找 新 的 连接 方式 来 取代 速度 慢 的 电话 调制 解 调 器 。 出 于 成 本 的 考虑 ， 
服务 提供 商 并 不 是 提供 一 个 全 新 的 布线 体系 ， 而 是 利用 现 有 线路 提供 
Internet 服 务 。 

一 种 分 布 到 每 家 每 户 并 且 可 以 支持 Internet 服 务 的 布线 系统 就 是 有 线 
电视 网 络 。 基 于 电缆 的 宽带 目前 在 世界 很 多 地 方 都 很 第 见 了 ， 上 典型 的 电 
绕 调 制 解 调 器 连接 如 图 9.5 所 示 。 








电 级 调制 解 调 需 直接 连接 到 一 条 同 轴 电 绑 ， 后 者 被 连接 到 有 线 电视 
服务 网 络 上 。 这 个 调制 解 调 器 通常 具有 一 个 以 太 网 接口 ， 可 以 连接 到 单 
台 计 算 机 或 小 型 局 域 网 中 的 交换 机 或 路 由 器 。 


电缆 调 
制 解 调 器 





提供 商 网 络 
图 9.5 典型 的 电缆 调制 解 调 器 配置 


前 面 讲 到 ， 术 语 “ 调 制 解 调 器 ”是 由 “调制 器 ?和 “和 解 调 器 ”的 缩写 。 与 
电话 调制 解 调 器 相同 ， 电 缆 调 制 解 调 器 实现 数字 信号 与 模拟 信号 的 转 
换 ， 从 而 让 数据 能 够 通过 电缆 连接 高 效 行 输 。 

名 为 电缆 调制 解 调 器 终端 系统 (CCMTS ) 的 设备 ， 在 有 线 电 视 提 供 
商 网 络 的 接口 ， 接 收 来 自 电 缆 调 制 解 调 器 的 信号 ， 把 它 转 换 回 数字 形 
式 。 有 线 电 视 提供 商 再 从 上 游 I SP 租用 宽带 线路 ， 利 用 路 由 器 把 用 户 与 
Internet 连接 起 来 。 提 供 商 还 可 以 提供 其 他 服务 ， 比 如 用 DHCP 给 网 络 
上 的 用 户 动态 分 配 卫 地 址 。 

虽然 电缆 调制 解 调 器 起 到 了 两 种 不 同 传输 介质 的 接口 的 作用 ， 但 它 
并 不 是 一 个 真正 的 路 由 器 ， 更 像 是 一 个 网 桥 〈 本 章 后 面 将 会 讲解 ) 。 电 
缆 调 制 解 调 器 根据 物理 (MAC) 地 址 在 网 络 访问 层 过 滤 通 信 。 然 而 近 
几 年 来 ， 有 些 厂 商 在 一 些 家 用 路 由 器 设备 中 内 置 了 电缆 调制 解 调 器 ， 所 
nn 
器 的 功能 。 

电缆 调制 解 调 器 三 商 在 早期 都 使 用 目 己 专属 的 标准 在 电缆 介质 上 管 
理 通信 。 在 20 世纪 90 年 代 末 期 ， 一 些 有 线 电 视 公 司 针对 电缆 调制 解 调 
器 网 络 推出 了 基于 电缆 服务 的 数字 接口 规范 (DOCSIS) 。 只 要 电费 调 























制 解 调 器 终端 系统 (CMTS) 和 电缆 调制 解 调 器 都 是 与 DOCSIS 兼 容 
的 ， 用 户 不 需要 做 任何 工作 就 可 以 进行 连接 ， 但 为 了 防止 盗用 服务 ， 有 





线 电视 公司 通常 要 求 用 户 预 先 注册 电 统 调制 解 调 费 的 MAC 地 址 才能 连 
接 到 网 络 。 





另 一 种 适合 实现 家 用 宽带 的 传输 介质 就 是 电话 网 。 当 然 ， 传 统 的 电 
话 调 制 解 调 右 使 用 的 就 是 电话 网 ， 但 电话 公司 认为 使 用 不 同 的 方法 可 以 
得 到 更 好 的 性 能 ， 这 了 就 是 数字 用 户 线 路 〈DSL) 。 

事实 上 ， 电 话 网 使 用 的 双 绞 线 能 够 提供 的 容量 远 超过 语 首 通信 的 需 
求 。DSL 收 发 磺 作 为 局 域 网 与 电话 网 的 接口 ， 其 工作 频率 不 会 影 啊 线 路 
的 语音 通信 ， 因 此 DSL 工 作 时 不 会 占用 线路 或 影响 电话 服务 。 

与 电线 网 络 一 样 的 是 ，DSL 网 络 要 求 在 线路 男 一 痢 也 有 一 台 设 备 接 
收 信号 ， 并 且 通 过 服务 提供 商 的 网 络 连 接 到 Internet ， 这 种 设备 就 是 “ 数 
字 服 务 线路 访问 多 路 复 用 器 (DSLAM) ”， 该 设备 充当 DSL 连 接 的 另外 
一 端 ( 见 图 9.6) 。 与 电 绕 网络 上 一 个 网 段 的 全 部 用 户 共 至 介质 不 同 ， 
每 个 DSL 用 户 在 收发 右 与 DSLAM 之 间 都 是 专线 连接 ， 所 以 性 能 受 通 信 
量 的 影响 也 比较 小 。 读 者 可 能 会 觉得 ， 电 统 网 络 与 LAN 类 似 ， 而 DSL 
线路 则 与 点 到 点 电话 连接 类似 。 








与 其 他 DSL 
用 户 的 
专用 连接 


图 9.6 使 用 DSL 连接 到 Internet 


DSL 具 有 多 种 形式 ， 包 括 ADSL ( 非 对 称 DSL， 用 于 小 型 办 公 室 和 
家 庭 的 最 流行 方式 ) 、HDSL (高 速 DSL) 、VDSL (其 高 速 DSL) 、 
SDSL 〈 对 称 DSL， 上 行 和 下 行 带宽 相等 ) 和 IDSL (基于 DSL 的 
ISDN) 。 从 协议 层 来 看 ，DSL 根 据 装 置 和 实现 有 多 种 变化 。 有 些 DSL 设 
备 集成 到 了 交换 机 或 路 由 器 。 有 些 则 充当 网 桥 〈 类 似 于 电缆 调制 解 调 
器 ) ， 在 网 络 访问 层 根据 物理 (MAC) 地 址 过 滤 流 量 。DSL 设 备 通 常用 
点 到 点 协议 《比如 PPP) 封装 数据 ， 比 如 最 流行 的 基于 以 太 网 的 
PPP (PPPoE ) 协议 。 


9.4 厂 域 网 CWAN) 


具有 大 量 计算 机 的 公司 和 大 型 机 构 对 网 络 访问 的 需求 不 是 像 拨号 或 
DSL 这 样 的 小 型 技术 所 能 满足 的 ， 关 键 问 题 在 于 如 何 利 用 专 有 连接 把 分 
散在 不 同 地 点 的 分 支部 门 连接 起 来 ， 还 要 具有 类 似 于 局 域 网 的 私密 性 ， 
并 且 在 高 级 应 用 层面 提供 足够 的 性 能 。 这 个 问题 促进 了 广域网 的 发 展 。 

广域网 技术 能 够 在 远 距 离 提 供 高 速率 带宽 连 网 。 虽 然 广域网 的 性 能 
不 是 像 局 域 网 那样 快 ， 但 通常 比 利 用 标准 连 网 技术 通过 Internet 连 接 远程 
主机 的 速度 要 快 〈 而 且 更 安全 ) 。 广 域 网 风格 的 连接 通常 会 以 某 种 方式 
提供 对 大 容量 公司 网 络 的 访问 ， 从 某 种 意义 上 来 次， 广域网 就 是 Internet 
本 身 的 核心 。 

广域网 的 一 些 形式 包括 : 

> 帧 中 继 ; 

> 综合 业务 数字 网 (ISDN ) ; 

> 高 级 数据 链 路 控制 (HDLC) ; 

> 异步 传输 模式 〈ATM) 。 

虽然 这 些 看 上 去 非常 复杂 ， 有 些 吓 人 《实际 上 也 是 ) ， 但 实际 上 它 
们 也 是 由 工作 于 TCP/P 网 络 访问 层 协议 进行 管理 的 物理 网 络 规范 的 另 一 
种 形式 (广域网 协议 几乎 一 直 是 OSI 模 型 的 中 心 ， 所 以 一 定 记 住 网 络 访 
问 层 对 应 于 OSI 模型 的 物理 层 和 数据 链 路 层 ， 也 就 是 所 谓 的 第 1 层 和 第 2 


J 

典型 的 广域网 场景 如 图 9.7 所 示 。 服 务 提供 商 运 行 一 个 广域网 ， 扣 
供 对 Intermmet 的 访问 ， 也 提供 对 用 户 分 支 机 构 的 访问 。 一 个 本 地 环 路 把 提 
供 丙 的 办 公 室 连接 到 所 谓 的 边界 点 ， 也 就 是 客户 连接 到 网 络 的 点 。 客 户 
提供 路 由 器 或 其 他 必要 的 专用 设备 ， 从 而 通过 局 域 网 连接 到 广域网 。 
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图 9.7 典型 的 WAN 场 景 


提供 商 确保 从 边界 点 之 后 的 专用 宽带 和 服务 级 别 。 服 务 的 安排 是 多 
种 多 样 的 ， 可 以 由 专用 租借 线路 组 成 ， 也 可 以 基于 电路 或 或 包 交 换 计量 


收费 。 
9.5 无 线 网 络 连 


随 着 技术 的 不 断 发 展 ， 广 商 和 用 户 都 开始 考虑 不 断 架 设 电缆 、 通 过 
以 太 网 端口 连接 计算 机 是 否 还 值得 做 。 一 些 标准 开始 把 无 线 网 络 连接 集 
成 到 TCP/IP， 下 面 的 小 节 将 讨论 其 中 一 些 技术 ， 包 括 : 

> 802.11 网 络 ; 

> 移动 IP; 





> 监 直 。 

品 和 服务 的 方式 取决 于 厂商 ， 下 面 的 小 市 主要 介 
绍 一 些 概念 。 

9.5.1 802.11 网 络 

第 3 章 讲 到 ， 物 理 网 络 的 细节 存在 于 TCP/AP 协 议 栈 的 网 络 访问 层 。 
对 无 线 TCP/IP 网 络 的 最 简单 理解 就 是 在 网 络 访问 层 使 用 无 线 方式 连接 的 








普通 网 络 。 流 行 的 下 EE 802.11 规 范 为 网 络 访问 层 进行 无 线 网 络 连 接 提 
供 了 一 个 模型 。 

802.11 协 议 栈 如 图 9.8 所 示 。 网 络 访问 层 的 无 线 组 件 与 以 前 学 习 的 其 
他 网 络 体 系 是 同等 的 。 事 实 上 ，802.11 因 为 与 IEEE 802.3 以 太 网 标准 的 
相似 性 和 兼容 性 ， 经 常 被 称 为 无 线 以 太 网 。 


TCP/IP 


802.2 (LLC 子 层 ) 网 络 


访问 层 


FHSS PHY DSSS PHY OFDM PHY HR/DSSS PHY 
图 9.8802.11 协议 位 于 TCP/IP 的 网 络 访问 层 


从 图 9.8 可 以 看 出 ，802.11 规 范 位 于 OSI 参考 模型 的 MAC 子 层 。MAC 
子 层 属于 OSI 模型 的 数据 链 路 层 。 从 第 2 章 中 可 以 知道 ，OSI 模 型 数据 链 
路 层 和 物理 层 对 应 于 TCP/P 的 网 络 访问 层 。 物 理 层 的 各 种 选项 分 别 代表 
了 不 同 的 无 线 广播 形式 ， 包 括 跳 频 扩 频 (FHSS) 、 直 接 序列 扩 频 
(DSSS) 、 正 交 频 分 复 用 (OFDM)， 和 高 速率 直接 序列 复 用 
(HR/DSSS) 。 

无 线 网 络 与 有 线 网 络 的 主要 区 别 就 是 节点 是 移动 的 ， 换 句 话说 ， 网 
络 必 须 能 够 适应 设备 位 置 的 改变 。 但 从 前 面 的 学 习 中 可 以 知道 ，TCP/IP 
网 络 的 原始 传输 系统 是 建立 在 这 样 一 种 假设 上 : 每 台 设 备 都 位 于 固定 位 
置 。 如 果 一 台 计 算 机 移动 到 男 一 个 网 段 ， 它 必须 配置 为 不 同 的 地 址 ， 否 
则 将 无 法 工作 。 但 无 线 网 络 上 的 设备 会 持续 移动 ， 而 且 在 这 个 环境 中 虽 
然 保留 了 以 太 网 的 很 多 传统 ， 但 情况 肯定 会 复杂 得 多 ， 要 求 使 用 新 的 不 
同 的 策略 。 

注意 : 802.11 家 族 

802.11 实 际 上 是 一 系列 标准 的 统称 。 最 初 的 802.11 标 准 (1997) 文 
持 在 2.4GHz 频率 范围 内 最 高 速率 2Mbit/s。802.11a 标准 支持 5GHz 频 率 
范围 内 最 高 速率 54Mbit/s。802.11b 标准 支持 2.4GHz 频率 范围 内 传输 速 
率 5.5Mbit/s 和 11Mbit/s。 最 后 出 现 的 标准 有 802.11g (在 2003 年 被 采 
纳 ) 和 902.11n (2008) 。 

1. 独立 网 络 和 基础 网 络 

无 线 网 络 的 最 简单 形式 就 是 两 台 或 多 台 具 有 无 线 网 卡 的 设备 直接 相 
互通 信 【〈 见 图 9.9) 。 这 种 类 型 的 网 络 的 正式 名 称 为 独立 基本 服务 集 
































(独立 BSS 或 [BSS) ， 通 常 被 称 为 ad hoc 网 络 。 独 立 BSS 对 于 小 范围 
内 少量 计算 机 来 说 就 够 用 了 。 独 立 BSS 的 典型 示例 就 是 外 出 归来 的 笔 
记 本 电脑 暂时 地 与 家 用 计算 机 连 网 ， 通 过 无 线 连接 传输 文件 。 在 研讨 会 
或 销售 会 议 上 ， 与 会 人 员 通 过 无 线 网 络 共享 信息 ， 就 很 自然 地 形成 了 独 
并 BSS 网 络 。 独 立 BSS 网 络 有 一 定局 限 性 ， 因 为 它 主要 依赖 参与 连 网 
的 计算 机 ， 没 有 提供 管理 连接 的 基础 设备 ， 也 就 不 能 链接 更 大 的 网 络 ， 
比如 局 域 网 或 Internet。 

另 一 种 无 线 网 络 被 称 为 基础 基本 服务 集 〈 基 础 BSS) ， 在 公司 网 络 
和 其 他 机 构 是 很 常见 的 ， 而 且 由 于 新 一 代 廉 价 无 线路 由 设备 的 出 现 ， 它 
在 家 庭 和 咖啡 店 环境 中 也 相当 流行 了 。 基 础 BSS 依 赖 于 一 个 被 称 为 访问 
点 (Access Point，AP) 的 固定 设备 与 无 线 设 备 实现 通信 ( 见 图 
9.10) 。AP 利 用 无 线 广播 与 无 线 网 络 通信 ， 它 还 通过 传统 连接 方式 连接 
到 普通 以 太 网 。 无 线 设备 通过 AP 进行 通信 。 如 果 一 台 无 线 设 备 想 与 同 
一 区 域 中 的 其 他 无 线 设备 进行 通信 ， 它 把 帧 发 送 给 AP， 让 AP 把 消息 转 
发 给 目的 。 对 于 与 传统 网 络 的 通信 ，AP 就 充当 网 桥 的 作用 ， 把 发 给 传 
en 











图 9.9 独立 BSS (ad hoc 网络) 





图 9.10 基础 BSS 包含 一 个 或 多 个 AP 


图 9.10 所 示 的 网 络 让 计算 机 像 在 有 线 以 太 网 络 上 那样 工作 。 而 且 多 
个 访问 点 通过 传统 以 太 网 连接 在 一 起 来 为 较 大 区 域 提 供 服 务 时 《〈 见 图 
9.11) 基础 BSS 的 配置 也 有 很 多 好 处 。 

802.11 的 设计 目标 就 是 满足 图 9.11 所 示 网 络 的 需要 ， 其 理念 是 让 移 
动 设备 在 网 络 服务 区 域 中 漫游 时 保持 连接 。 首 先 要 说 明 的 是 ， 如 果 设 备 
需要 接收 全 部 网 络 传输 ， 网 络 必须 知道 通过 哪个 AP 能 到 达 该 设备 ， 这 
当然 要 考虑 到 设备 是 可 移动 的 ， 而 且 适 合 的 AP 也 可 能 在 未 加 提示 的 情 
况 下 发 生 改 变 。 另 外 要 说 明 的 是 ， 源 地 址 和 目的 地 址 的 传统 概念 对 于 在 
无 线 网 络 传输 数据 来 说 已 经 不 够 用 了 ，802.11 帧 具有 如 下 4 种 地 址 。 

> 目的 地 址 : 帧 传输 的 目的 设备 。 

> 源 地 址 : 发 送 帧 的 设备 。 
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图 9.11 具有 多 个 AP 的 基础 BSS 


> 接收 者 地 址 : 应 该 处 理 这 个 802.11 帧 的 无 线 设备 。 如 果 帧 要 传 
输 到 无 线 设备 ， 接 收 者 地 址 就 与 目的 地 址 是 一 致 的 。 如 果 帧 要 传输 到 无 
线 网 络 之 外 ， 接 收 者 地 址 就 是 某 个 AP 的 地 址 ， 该 AP 会 接收 这 个 帧 并 且 
把 它 转发 到 以 太 网 络 。 

> 发 射 者 地 址 : 把 帧 转发 给 无 线 网 络 的 设备 地 址 。 

802.11 的 帧 格式 如 图 9.12 所 示 ， 其 中 一 些 重要 字段 如 下 所 示 。 

> 帧 控制 :一些 较 小 字段 的 集合 ， 描 述 了 协议 版 本 、 帧 类 型 和 解 
释 帧 内 容 所 需 的 其 他 值 。 
a 期 限 /ID: 设置 传输 大 致 应 该 持续 多 长 的 时 间 。 还 可 以 请 求 AP 绥 
年 的 帧 。 
> 地 址 字段 : 48 位 的 物理 地 址 。 由 于 802.11 有 时 需要 最 多 4 种 不 同 





的 地 址 ， 所 以 会 根据 不 同类 型 的 帧 使 用 不 同 的 地 址 字段 。 第 1 个 字段 通 
常 是 接收 者 地 址 ， 第 2 个 字段 通常 是 肥 射 者 地 址 。 

> 序列 控制 : 片段 序号 〈 用 于 重组 片段 ) 以 及 帧 的 序列 号 。 

> 帧 主体 : 帧 中 传输 的 数据 。 第 2 章 中 已 经 介绍 过 ， 帧 中 传输 的 数 
据 还 包含 上 层 协 议 的 报头 信息 。 

> 帧 校 验 序 列 “ECS) : 一 个 循环 元 余 校 验 值 ， 用 于 检查 传输 错 
误 并 验证 帧 在 传输 过 程 中 没有 被 改变 。 





图 9.12 802.11 帧 格式 


由 于 802.11 是 个 网 络 访问 层 的 协议 集 ， 所 以 802.11 帧 中 使 用 的 地 址 
是 48 位 的 物理 地 址 ， 而 不 是 IP 地 址 。 当 设备 在 无 线 网 络 中 移动 时 ， 它 会 
向 最 近 可 用 的 AP 进行 注册 《从 技术 上 讲 ， 它 会 向 信号 最 强 、 干 扰 最 小 
的 AP 注册 ) 。 这 个 注册 过 程 被 称 为 关联 association) 。 当 设备 漫游 到 
另 一 个 访问 点 附近 时 ， 它 会 重新 关联 到 新 的 AP。 这 个 关联 过 程 让 网 络 
能 够 知道 到 达 任 何 一 个 设备 应 该 使 用 哪个 AP。 

注意 : WiFi 联 盟 

为 了 确保 802.11 设备 的 兼容 性 ， 名 为 无 线 以 太 网 兼容 联盟 
CWECA， 成 立 于 1999 年 ) 的 组 织 提供 了 一 个 针对 无 线 产 品 的 认证 项 
目 。 该 组 织 后 来 将 其 名 字 命 名 为 WiFi 联盟 。 如 果 想 得 到 Wi-Fi (无 线 保 
真 ) 认证， 必须 对 产品 进行 测试 ， 以 验证 它 与 其 他 无 线 设 备 之 间 具 有 互 
操作 性 。 有 关 WiFi 联 盟 的 更 多 信息 ， 请 访问 www.wi-if.org。 

2. 802.11 安 全 

很 明显 ， 没 有 保护 的 无 线 网 络 是 很 不 安全 的 。 在 对 传统 网 络 进 行 穷 
听 时 ， 至 少 需要 连接 到 传输 介质 上 。 而 对 于 无 线 网 络 来 说 ， 在 其 广播 范 
围 之 内 都 可 以 进行 攻击 。 如 果 网 络 没 有 适当 的 保护 措施 ， 不 仅 容 易 被 镭 
听 ， 而 且 很 容易 就 让 非法 用 户 进入 到 网 络 。 

为 了 解决 这 些 问 题 ，IEEE 制定 了 一 个 可 选 的 安全 协议 标准 用 于 
802.11: 有 线 等 效 保 密 〈Wired Equivalent Privacy，WEP) 标准 ， 其 目 
的 是 刘 供 5 传统 有 线 网 络 入 致 相同 的 保密 级 别 。WEP 的 目标 在 于 解决 如 
下 问题 。 

> 机 密 性 : 防止 窃听 。 

> 完整 性 ， 防止 数据 被 算 改 。 














> 身份 验证 : 对 连接 团体 进行 验证 ， 确 保 他 们 有 操作 网 络 的 必要 
流 限 。 

WEP 使 用 RC4 算法 进行 加 密 来 实现 机 密 性 和 完整 性 的 目标 。 发 送 设 
备 会 生成 一 个 完整 性 校 验 值 (Integrity Check Value，ICV) ， 这 个 值 是 
基于 帧 内 容 进 行 标准 计算 而 得 到 的 ， 它 使 用 RC4 算法 进行 加 密 ， 传 输 
给 接收 方 。 接 收 设备 对 帧 进行 解密 ， 计 算 ICV 的 值 ， 如 果 计 算 后 的 ICV 
值 与 帧 中 传输 的 数值 相同 ， 束 表示 帧 没有 被 修改 。 

然而 ，WEP 受 到 了 安全 专家 们 的 反对 。 大 多 数 专家 认为 WEP 是 无 
效 的 。 有 些 对 于 WEP 的 质疑 实际 上 是 反对 RC4 加 密 算 法 的 实现 。WEP 在 
理论 上 使 用 64 位 密 钥 ， 但 其 中 24 位 是 用 于 初始 化 的 ， 只 有 40 位 用 作 共 享 
密 钥 。 专 家 认为 40 位 的 密 钥 太 短 了 ， 所 以 WEP 不 能 实现 有 效 的 保护 。 专 
家 还 质疑 密 钥 管理 系统 和 用 于 启动 加 密 的 24 位 初始 化 矢量 。 

WEP2 是 对 WEP 的 升级 ， 把 初始 化 矢量 增加 到 128 位 ， 并 且 使 用 
Kerberos 冉 份 验 证 来 管理 密 钥 的 使 用 与 分 发 。 然 而 ，WEP2 并 没有 解决 
WEP 的 全 部 问题 ， 因 此 出 现 了 其 他 一 些 协 议 ， 比 如 可 扩展 身份 验证 协议 
(Extensible Authentication Protocol，EAP) ， 可 以 解决 WEP 面 临 的 难 
题 。 

作为 一 个 更 好 的 无 线 安 全 协议 ，802.11i 标 准 草 案 出 现 于 2004 年 ， 并 
在 2007 被 收入 802.11 标 准 。 这 个 新 方法 也 被 称 为 WiFi 保 护 访 问 2 (WiFi 
Protected Access JI，WPA2) ， 使 用 AES 块 密码 而 不 是 RC4 进 行 加 密 ， 

而 且 具 有 更 安全 的 身份 验证 和 密 钥 分 发 过 程 。WPA2 是 无 线 安 全 领域 的 
ee 
oo 

很 多 无 线 设备 还 支持 其 他 安全 方法 ， 例 如 ， 很 多 无 线路 由 器 能 够 让 
我 们 输入 允许 访问 网 络 的 计算 机 的 MAC 地 址 。 这 种 方法 能 够 有 效 防 止 
邻居 盗用 我 们 的 和 带宽， 但 有 经 验 的 入 侵 者 能 够 绕 过 这 种 控制 。 

9.5.2 移动 IP 


在 世界 各 地 移动 的 设备 给 应 答 机 制 提 出 了 一 个 问题 。Internet 寻 址 系 
统 是 分 级 组 织 的 ， 其 前 提 是 目标 设备 位 于 由 IP 地 址 定义 的 网 段 中 。 由 于 
移动 设备 可 能 位 于 任何 一 个 位 置 ， 所 以 通信 规则 就 变 得 复杂 多 了 。 为 了 
维护 一 个 TCP 连 接 ， 设 备 必 须 具 有 固定 的 IP 地 址 ， 这 意味 着 漫游 设备 不 
能 简单 地 使 用 一 个 由 最 近 发 射 者 分 配 的 地 址 。 另 外 ， 由 于 这 个 问题 与 
Internet 寻 址 相关 ， 它 不 能 在 网 络 访问 层 得 以 解决 ， 需 要 对 网 际 层 的 卫 
协议 进行 扩展 。 移 动 IP 扩 展 在 RFC 3220 中 定义 ， 之 后 又 进行 过 多 次 更 
新 ， 最 新 的 IPv4 移 动 标准 是 RFC 5944. 

移动 IP 给 固定 IP 地 址 关联 上 一 个 辅助 地 址 来 解决 寻 址 问题 。 移 动 IP 











环境 如 图 9.13 所 示 ， 设 备 具 有 属于 家 乡 网 络 (Home Network) 的 固定 地 
址 。 家 乡 网 络 上 有 一 个 被 称 为 “家 乡 代 理 (Home Agent) ”的 专用 路 由 
器 ， 它 维护 一 个 表格 ， 把 设备 的 当前 位 置 与 固定 地 址 绑 定 。 当 设备 进入 
到 一 个 新 网 络 时 ， 它 将 注册 到 该 网 络 中 运行 的 外 地 代理 (Foreign 
Agent) 中 。 外 地 代理 就 把 移动 设备 添加 到 访问 者 列表 ， 并 且 把 设备 当 
前 位 置 的 信息 发 送 给 家 乡 代 理 ， 家 乡 代理 就 会 用 设备 的 当前 位 置信 息 更 
新 上 自己 的 移动 性 绑 定 表 。 当 发 往 这 人 台 设 备 的 数据 报到 达 家 乡 网 络 时 ， 它 
被 封装 到 一 个 目标 为 外 地 网 络 的 数据 包 中 ， 最 终 到 达 该 设备 。 





访问 者 
列表 





图 9.13 移动 IP 提供 了 将 数据 报 友 送 到 移动 设备 的 方法 


9.5.3 蓝牙 

蓝牙 协议 体系 是 无 线 设备 的 男 一 种 规范 ， 现 在 已 经 相当 流行 。 蓝 牙 
最 初 由 Ericsson 公 司 开发 ， 之 后 其 他 一 些 公 司 〈 包 括 Intel 和 IBM) 也 参与 
到 它 的 开发 中 。 与 802.11 一 样 ， 蓝 牙 标 准 定义 了 OSI 模 型 中 数据 链 路 层 
和 物理 层 〈 等 效 于 TCP/IP 网 络 访问 层 ) 。 蓝 牙 注册 商标 由 蓝牙 特别 兴趣 
小 组 (Special Interest Group，SIG) 持 有 。 


虽然 蓝牙 标准 经 常用 于 像 耳 机 、 无 线 键盘 这 样 的 外 围 设备 ， 但 在 某 
些 情况 下 也 可 以 代替 802.11， 而 且 蓝 牙 的 支持 者 总 是 很 愿意 表明 蓝牙 没 
有 802.11 的 一 些 安 全 问题 ， 然 而 蓝牙 和 802.11 被 看 做 是 互补 技术 。 
802.11 是 为 了 提供 与 以 太 网 等 同 的 无 线 网 络 ， 而 蓝牙 致力 于 在 短 距 离 范 
围 (10 米 ) 之 内 为 无 线 设备 提供 可 靠 的 、 高 性 能 环境 。 效 牙 的 设计 目标 
是 实现 一 个 小 工作 区 域内 一 组 无 线 交 互 设备 的 通信 。 在 蓝牙 的 规范 中 ， 
这 个 小 区 域 被 称 为 个 域 网 (Personal Area Network，PAN) 。 

像 其 他 无 线形 式 一 样 ， 蓝 牙 使 用 AP 把 无 线 网 络 连接 到 传统 网 络 
(在 蓝牙 术语 中 ， 这 个 AP 被 称 为 “网 络 AP” 或 NAP) 。 蓝 牙 封 装 协议 能 
够 对 进行 TCP/IP 数 据 包 进行 封装 ， 从 而 在 蓝牙 网 络 进行 传输 。 

当然 ， 如 果 一 个 蓝牙 设备 可 以 通过 Internet 访 问 ， 则 它 必 须 能 够 通过 
TCP/P 访 问 。 广 商 预 想 生 产 一 类 兼容 Internet 的 蓝牙 设备 ， 通 过 具有 蓝牙 
功能 的 Internet 网 桥 连接 到 Internet ( 见 图 9.14) 。 蓝 牙 NAP 设 备 充 当 网 
桥 ， 接 收 输入 的 TCP/P 数 据 ， 然 后 用 瘤 牙 网 络 访问 协议 蔡 换 输入 的 网 络 
访问 层 协议 ， 从 而 把 数据 传输 到 接收 设备 。 








远程 计算 
机 或 设备 





蚊 牙 设备 
图 9.14 具有 蓝牙 功能 的 Internet 网 桥 


注意 : 为 什么 称 之 为 “蓝牙 ” 

很 多 人 都 很 高 兴 览 牙 技术 的 创建 者 没有 使 用 什么 缩写 作为 它 的 名 
称 ， 但 为 什么 会 使 用 蓝牙 这 个 名 称 昵 ?因为 它 会 处 理 数 据 ? 因为 它 使 用 
字 节 ? 不 要 再 费 脑 筋 想 什么 隐 合 意义 了 。 蓝 牙 的 名 称 源 自 于 Viking 
King Harald Bluetooth，11 世 纪 坟 麦 和 挪威 的 统治 者 ， 他 在 观看 了 德国 牧 


师 成 功 完成 奇迹 般 的 挑战 之 后 信 了 基督 教 。 

Harald Bluetooth 很 受 爱 戴 ， 但 他 是 很 专制 的 。 他 似乎 是 William Te 
11 传奇 中 一 个 反面 角色 的 原型 ， 让 一 个 臣民 射击 其 儿子 头 上 的 一 个 全 
果 。 神 射手 答应 进行 射击 ， 但 也 声明 ， 如 果 失 手 了 ， 他 会 在 Bluetooth 的 
心 久 里 射 三 支 第 。 当 我 们 进入 无 线 殿堂 时 ， 希 望 受 新 Bluetooth 统 治 的 设 
备 可 不 要 具有 这 种 复仇 的 倾 同 。 


9.6 连接 设备 


前 面 主 要 介绍 了 TCP/IP 网 络 中 与 路 由 器 相关 的 重要 主题 ， 虽 然 路 
由 器 是 非常 重要 和 基础 的 概念 ， 但 TCP/IP 网 络 上 还 其 他 很 多 连接 设备 。 

各 种 各 样 的 连接 设备 都 在 TCP/IP 网 络 流量 管理 中 扮演 不 同 的 角 
色 ， 下 面 将 分 别 介 绍 网 桥 、HUB 和 交换 机 。 


9.6.1 网 桥 


网 桥 是 根据 物理 地 址 过 滤 和 转发 数据 包 的 连接 设备 ， 它 工作 于 OSI 
模型 的 数据 链 路 层 ( 对 应 于 TCP/IP 网 络 的 网 络 访 问 层 ) 。 近 些 年 来 ， 网 
络 倾向 于 使 用 功能 更 强 的 设备 ， 比 如 交换 机 ， 所 以 网 桥 的 使 用 越 来 越 
少 。 但 网 桥 的 简单 性 恰好 适合 作为 讨论 连接 设备 的 出 发 点 。 

虽然 网 桥 不 是 路 由 器 ， 但 仍然 使 用 一 个 路 由 表 作 为 传输 信息 的 根 
据 。 这 个 基于 物理 地 址 的 路 由 表 与 后 面 要 介绍 的 路 由 表 相 比 ， 不 仅 具 有 
不 同 的 形式 ， 而 且 也 简单 得 多 。 

网 桥 监听 它 所 连接 的 每 个 网 段 ， 建 立 一 个 表 来 反映 物理 地 址 位 于 哪 
个 网 段 。 当 数据 在 一 个 网 段 上 传输 时 ， 网 桥 会 查看 数据 的 目的 地 址 ， 与 
路 由 表 进 行 比较 。 如 果 目 的 地 址 属于 发 送 数据 的 网 段 ， 网 桥 就 包 略 这 个 
数据 。 如 果 目 的 地 址 在 不 同 的 网 段 ， 网 桥 就 把 数据 转发 到 适当 的 网 段 。 
人 
部 网 段 。 

注意 : 网 路 地 址 vs 逻辑 地 址 

要 记 住 ， 网 桥 使 用 的 基于 人 硬件 的 物理 地 址 与 逻辑 IP 地 址 不 同 。 这 两 
者 之 间 的 区 别 ， 请 见 第 1 一 第 4 章 。 

网 桥 曾 经 作为 局 域 网 上 过 滤 流 量 的 一 种 廉价 设备 大 量 使 用 ， 用 于 增 
加 网 络 上 能 够 容纳 的 计算 机 数量 。 前 面 已 经 介绍 过 ， 现 在 一 些 网 络 访问 
设备 都 集成 了 网 桥 的 功能 ， 比 如 电缆 调制 解 调 器 和 某 些 DSL 设 备 。 由 于 
网 桥 只 使 用 网 络 访问 层 的 物理 地 址 ， 不 检查 卫 数 据 报 头 中 的 逻辑 地 址 信 
息 ， 所 以 不 适合 连接 非 同 类 网 络 。 网 桥 也 不 能 用 于 在 大 型 网 络 〈 比 如 
Internet) 上 实现 数据 转发 的 了 路 由 和 传输 方案 。 











9.6.2 HUB 


在 以 太 网 出 现 的 早期 ， 大 多 数 网 络 的 连接 方式 是 用 一 条 连续 的 同 轴 
电缆 把 计算 机 连接 起 来 。 然 而 ， 在 随后 几 年 ， 工 程 师 看 到 了 使 用 中 心 设 
备 将 计算 机 连接 在 一 起 所 具有 的 优势 〈《 见 图 9.15) 。 

在 第 3 章 讲 到 ， 经 典 的 以 太 网 概念 是 让 全 部 计算 机 共享 传输 介质 。 
每 次 传输 都 会 被 全 部 网 络 适 配 右 监听 。 以 太 网 HUB 作为 一 个 物理 设备 
从 一 个 端口 接收 数据 ， 然 后 把 数据 重复 到 其 余 全 部 端口 〈 见 图 9.15) 。 
换 句 话说 ， 全 部 计算 机 就 好 像 是 被 一 条 连续 线路 连接 在 一 起 的 。HUB 不 
会 过 滤 或 路 由 任何 数据 ， 只 是 接收 和 重新 发 送信 号。 

基于 HUB 的 以 太 网 兴起 的 主要 原因 之 一 是 HUB 人 简化 了 布线 。 每 台 
计算 机 都 通过 一 条 线路 连接 到 HUB， 可 以 方便 地 中 断 连接 和 重新 连接 。 
在 一 般 办 公 环 境 中 ， 计 算 机 通常 集中 在 一 个 较 小 的 区 域 ， 这 时 使 用 一 个 
HUB 就 可 以 为 一 组 距离 很 近 的 计算 机 提供 服务 ， 然 后 再 连接 到 网 络 其 
他 部 分 的 HUB。 这 种 把 电线 都 连接 到 一 台 设 备 的 方式 让 广 家 迅速 意识 
到 创新 的 机 会 ， 于 是 出 现 了 更 复杂 的 HUB， 即 所 谓 的 乔 能 HUB。 它 共 
有 额外 的 特性 ， 比 如 能 够 检测 线路 故障 和 关闭 端口 。 现 在 ，HUB 基 本 上 
己 经 被 交换 机 取代 了 。 











图 9.15 基于 HUB 的 以 太 网 


9.6.3 交换 机 
基于 HUB 的 以 太 网 仍然 面临 着 传统 以 太 网 的 主要 问题 ， 性 能 随 着 


流量 的 上 升 而 下 降 。 只 有 当 线 路 空 采 时 ， 计 算 机 才能 进行 传输 ， 而 且 每 
个 网 络 适 配器 都 必须 接收 和 处 理 网 络 上 的 每 个 帧 。 为 了 解决 这 些 问 题 ， 
比 HUB 更 智能 的 设备 一 一 交换 机 一 一 出 现 了 。 在 其 最 基本 形式 下 ， 交 
换 机 类 似 于 图 9.15 中 所 示 的 HUB， 每 全 计算 机 也 是 通过 一 条 线路 连接 
到 交换 机 。 但 是 ， 区 换 机 知道 应 该 把 接收 到 的 数据 发 送 到 哪 一 个 端口 。 
大 多 数 交 换 机 把 端口 与 所 连接 设 配 絮 的 物理 地 址 关联 起 来 ( 见 图 
9.16) 。 当 一 个 问 口 所 连接 的 计算 机 发 送 数据 帧 时 ， 交 换 机 会 租 看 帧 的 
目的 地 址 ， 把 帧 发 送 到 与 目的 地 址 相关 联 的 端口 。 换 句 话 说， 区 换 机 只 
回应 该 接收 数据 的 适配器 发 送 数据 帧 。 这 样 一 来 ， 每 个 适配器 就 不 必 奉 
人 
现 络 性 能 。 
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图 9.16 交换 机 将 每 个 端口 与 物理 地 址 关联 起 来 


注意 ， 前 面 描述 的 1 类 交换 机 只 操作 物理 地 址 ， 不 处 理 IP 地 址 。 交 
换 机 不 是 路 由 器 ， 实 际 上 它 更 像 网 桥 ， 准 确 地 说 是 更 像 多 个 网 桥 结 合 在 
一 起 。 交 换 机 对 每 个 网 络 连 接 进 行 隔离 ， 从 而 只 让 针对 特定 计算 机 的 数 
据 进入 特定 线路 〈 见 图 9.17) 。 

现在 的 交换 方式 有 多 种 ， 最 常见 的 两 种 交换 方法 如 下 所 示 。 

> 直通 式 : 交换 机 一 获得 目的 地 址 就 转发 帧 。 











计算 机 C 













只 到 A 
OO 
一 一 一 > 
只 来 自 A 只 到 DD 
图 9.17 交换 机 通过 隔离 每 台 计 算 机 来 减少 流量 


离 
> 存储 转发 : 交换 机 在 转发 之 前 接收 整个 帧 。 这 种 方法 会 减缓 转 
发 过 程 ， 但 有 时 可 以 改善 整体 性 能 ， 


j= 
因为 可 以 过 滤 出 碎片 和 其 他 无 效 的 
人 由。 


交换 在 近年 来 变 得 非常 流行 。 公 司 局 域 网 通常 会 使 用 分 层 式 的 交换 
机 和 互 连 式 的 交换 机 来 优化 性 能 。 

注意 : 交换 机 和 分 层 

有 些 厂 商 现 在 把 前 面 介绍 这 种 基础 交换 机 概念 看 做 是 一 个 更 大 类 别 
交换 设备 的 一 种 特例 。 更 复杂 的 交换 机 工作 于 更 高 的 协议 层 ， 能 够 根据 
各 种 参数 决定 如 何 转发 。 在 这 种 更 通用 的 交换 方法 中 ， 设 备 根据 其 工作 
的 OSI 协 议 层 进行 分 类 。 前 面 介绍 的 基本 交换 机 工作 于 OSI 模 型 的 数据 
链 路 层 ， 被 称 为 第 2 层 交 换 机 。 根 据 IP 地 址 信息 进行 转发 的 交换 机 工作 
于 OSI 模 型 的 网 络 层 ， 被 称 为 第 3 层 交 换 机 (显然 ， 第 3 层 交 换 基本 上 就 
是 某 种 路 由 器 了 ) 。 如 果 本 节 没 有 明确 说 明 交 换 机 是 工作 于 哪 一 层 的 ， 
它 一 般 就 是 工作 于 第 2 层 的 ， 根 据 物理 (MAC) 地 址 进行 过 小 。 


9.7 小 结 
本 章 介绍 了 连接 Internet 或 其 他 大 型 网 络 的 一 些 不 同 的 技术 ， 介 绍 


了 调制 解 调 器 、 点 到 点 连接 、 主 机 拨号 访问 ， 还 讨论 了 一 些 流行 的 宽带 
技术 ， 比 如 电缆 连 网 和 DSL， 以 及 WAN 技 术 。 本 章 还 讨论 了 一 些 重 要 

















的 无 线 网 络 协议 ， 介 绍 了 TCP/AP 网 络 上 常用 的 一 些 连接 设备 。 
9.8 问 与 答 


ee 
? 

答 : 在 点 到 点 连接 中 ， 参 与 连接 的 两 台 计 算 机 就 位 于 线路 的 两 端 ， 
所 以 不 需要 像 以 太 网 那样 的 复杂 物理 寻 址 系统 。 但 是 ，SLIP 和 PPP 完 全 
支持 使 用 卫 或 其 他 网 络 层 协议 的 逻辑 寻 址 。 

问 : 我 的 电缆 调制 解 调 器 每 天 同一 时 间 都 会 变 得 很 慢 ， 这 是 为 什 
么 ? 如 何 解决 ? 

答 : 电缆 调制 解 调 器 与 其 他 设备 共享 传输 介质 ， 在 线路 使 用 率 高 时 
性 能 就 会 下 降 。 除 非 能 够 连接 到 其 他 网 段 (基本 上 是 不 可 能 的 ) ， 和 否则 
使 用 电缆 调制 解 调 器 就 只 能 这 样 了 。 可 以 尝试 使 用 其 他 服务 ， 比 如 
DSL， 它 能 提供 更 稳定 的 服务 质量 。 从 整体 上 来 说 ，DSL 并 不 比 电 统 
快 ， 这 取决 于 服务 的 细节 、 本 地 的 流量 水 平和 服务 提供 商 。 

问 : 移动 设备 为 什么 要 关联 (注册) 到 AP? 

答 : 来 自传 统 网 络 的 帧 被 AP 转发 到 所 关联 的 移动 设备 。 通 过 与 
AP 建立 关联 ， 设 备 就 告诉 了 网 络 应 该 把 发 给 自己 的 帧 送 到 哪个 AP。 


9.9 测验 

下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问 题 站 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 则 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完 成 这 些 问 题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 
9.9.1 问题 
1. 用 来 在 电话 线 上 传输 IP 数 据 报 而 且 占 据 主 导 地 位 的 协议 是 什 
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3， 说 出 4 种 WAN 技 术 。 

4. 独立 BSS 无 线 网 络 的 另外 一 个 名 字 是 什么 ? 
5. HUB 与 交换 机 的 区 别 是 什么 ? 

9.9.2 练习 

1， 列 出 拨号 连接 的 一 些 不 足 。 








中 
2 








六 


带 技 


2. 如 果 你 可 以 访问 DSL 和 电线 调制 解 调 器 网 络 ， 请 都 试 一 下 ， 然 
后 感受 它们 的 性 能 是 否 有 差别 。 

3. 如 果 你 的 计算 机 支持 WiFi， 请 找 出 它 使 用 的 哪 一 种 802.11 协 
议 。 

4. 如 果 可 以 连接 到 WiFi 网 络 ， 请 比较 它 与 无 线 网 络 〈 比 如 以 太 
网 ) 的 性 能 差异 。 

5. 调查 交换 机 和 HUB 的 价格 。 基 于 你 的 调查 结果 和 本 章 学 到 的 知 
识 ， 来 决定 在 小 型 家 性 网 络 中 应 该 使 用 哪 一 种 设备 。 


9.10 关键 术语 


复习 下 列 关 键 术 语 : 

> 802.11: 无 线 通 信 的 协议 集 ， 位 于 TCP/IP 协 议 栈 的 网 络 访问 层 ， 
对 应 于 OSI 模型 的 数据 链 路 层 和 物理 层 。 

> AP: 连接 无 线 网 络 与 传统 网 络 的 设备 ， 其 行为 类 似 于 网 桥 ， 在 
无 线 网 络 与 传统 的 以 太 网 络 之 间 转 发 帧 。 

关联 : 无 线 设备 把 自己 注册 到 最 近 AP 的 过 程 。 

> 蓝牙 : 近 距 离 无 线 器 件 和 设备 使 用 的 协议 体系 。 

> 网 桥 : 根据 物理 地 址 进行 数据 转发 的 连接 设备 。 

电缆 调制 解 调 器 终端 系统 (CCMTS) : 电缆 调制 解 调 器 连接 到 
提供 商 网 络 的 接口 设备 。 
ee 

人 

> 基于 电缆 服务 的 数字 接口 规范 (DOCSIS) : 电缆 调制 解 调 器 
网 络 的 一 种 规范 。 

> 数字 用 户 线路 (DSL) : 基于 电话 线路 的 一 种 宽带 连接 方式 。 

> 数字 服务 线路 访问 多 路 复 用 器 (DSLAM) : DSL 连 接 与 提供 
商 网 络 的 接口 设备 。 

> HUB: 用 于 连接 网 络 电缆 而 构成 一 个 网 段 的 设备 。HUB 一 般 不 
过 滤 数 据 ， 只 是 把 接收 到 的 帧 转发 到 全 部 端口 。 一 度 很 常见 的 HUB 如 
今 已 经 被 交换 机 取代 ， 但 是 要 想 理解 LAN 连 网 设备 的 演进 ，HUB 相 关 的 
知识 还 是 必 不 可 少 的 。 

> 独立 基本 服务 集 (独立 BSS 或 TBSS) : 无 线 网 络 的 一 种 形式 ， 
通信 的 设备 相互 之 间 直 接连 接 (也 被 称 为 ad hoc 网 络 ) 。 

> 基础 茶 本 服务 集 (基础 BSS) : 无 线 网 络 的 一 种 形式 ， 无 线 设 
备 通过 连接 到 传统 网 络 的 一 个 或 多 个 AP 进行 通信 。 








> 智能 HUB: 能 够 执行 额外 任务 的 HUB， 比 如 在 检测 到 线路 故障 
时 关闭 接口 。 

> 链 路 控制 协议 (LCP) : PPP 用 于 建立 、 管 理 和 终止 拨号 连接 
的 协议 。 

> 移动 ITP: 一 种 IP 寻 址 系统 ， 用 于 支持 移动 的 设备 。 

> 调制 解 调 器 : 实现 数字 信号 与 模拟 信号 转换 的 一 种 设备 。 

> 网 络 控 制 协 议 (NCP) : PPP 与 特定 协议 簇 交 互 所 用 的 一 组 协 
1 

> 点 到 点 连接 : 仅 由 两 个 共享 传输 介质 的 通信 设备 组 成 的 连接 。 

> 点 到 点 协议 (PPP) : 一 种 拨号 协议 。PPP 文 持 TCPAIP 和 其 他 网 
络 协 议 秘 ， 它 比 SLIP 更 新 、 更 强大 。 

> 串 行 线路 接口 协议 (SLIP): 早期 的 基于 TCP/IP 的 拨号 协议 。 
a 存储 转发 交换 : 一 种 交换 方式 ， 交 换 机 会 先 接收 整个 帧 ， 然 后 

> 交换 机 : 一 种 连接 设备 ， 它 能 够 掌握 与 每 个 端口 相关 联 的 地 
址 ， 把 接收 到 的 数据 转发 到 相应 的 端口 。 交 换 机 能 够 根据 封装 在 协议 栈 
报头 中 的 多 个 参数 来 决定 如 何 转发 数据 。 

> 广域网 (WAN) : 一 些 技术 的 集合 ， 用 于 在 长 距离 上 提供 相对 
快速 和 高 带宽 的 连接 。 

> WiFi 保护 访问 2 (WPA2) : 一 种 高 级 的 无 线 安全 标准 ， 在 很 
大 程度 上 已 经 取代 了 WEP。WPA2 使 用 AES 块 密码 来 加 密 。 

> 有 线 等 ， CWEP) : 802.11 无 线 网 络 的 一 种 安全 标准 。 
WEP 现 在 已 经 被 废弃 








本 章 介 绍 如 下 内 容 : 

> 主机 名 解析 ; 

~ DNS ; 

> DNSSEC; 

> 动态 NDS; 

> NetBIOS 。 

在 第 2 章 中 ， 我 们 学 习 了 名 称 解析 ， 这 是 一 种 强大 的 技术 ， 通 过 这 
种 技术 ， 能 够 用 字母 数字 形式 的 名 称 来 表示 32 位 的 人 P 地 址 。 名 称 解 析 的 
过 程 是 首 先 接受 二 个 计算 机 的 名 称 接着 再 将 这 个 名 称 解析 成 相应 的 IP 











地 址 。 在 本 章 中 ， 将 会 介绍 主机 名 ， 域 名 和 完全 限定 域名 (Fully 
Qualified Domain Name，FQDN) 。 上 此外， 还 可 学 习 到 在 Microsoft 的 网 
络 中 经 常 被 用 到 的 另 一 种 名 称 解析 系统 一 NetBIOS 。 

学 完 本 章 后 ， 你 可 以 : 

> 解释 名 称 解 析 是 如 何 工作 的 ; 

> 解释 主机 名 、 域 名 和 FQDN 的 区 别 ; 

> 摘 述 主机 名 解析 ; 

> 描述 DNS 名 称 解析 ; 

> 描述 NetBIOS 名 称 解析 。 





10.1 什么 是 名 称 解 


在 TCP/IP 网 络 出 现 的 早期 ， 用 户 很 快 就 认识 到 ， 如 果 要 记 住 网 络 上 
每 台 计 算 机 的 IP 地 址 是 相当 麻烦 和 低 效 的 。 研 究 中 心 的 研究 人 员 通 常 很 
忙 ， 以 至 于 他 们 无 法 记 住 6 楼 的 计算 机 A 的 IP 地 址 是 100.12.8.14 还 是 
100.12.8.18。 程 序 员 开始 考虑 是 否 可 以 为 每 一 台 计 算 机 分 配 一 个 便于 记 
忆 的 描述 性 名 字 ， 并 可 以 让 网 络 上 的 计算 机 将 这 个 地 址 关联 到 IP 地 址 。 

主机 名 系统 是 在 TCP/IP 早期 开发 的 一 种 简单 的 名 称 解 析 系 统 。 在 
这 个 系统 中 ， 每 台 计 算 机 都 有 一 个 用 字母 数字 形式 表示 的 名 称 ， 这 个 名 
称 被 称 为 主机 名 。 如 果 操 作 系 统 需要 从 字母 名 称 得 到 中 地 址 ， 会 查询 主 
机 文件 ( 见 图 10.1〉。 主 机 文件 中 包含 了 主机 名 和 相关 IP 地 址 的 列表 。 
如 果 名 称 在 主机 名 列表 中 ， 就 读 取 与 之 关联 的 人 P 地 址 。 接 着 ， 将 命令 中 
的 主机 名 蔡 换 成 相应 的 PP 地址， 最 后 才 执 行 命令 。 














主机 : BobPC 主机 : EdPC 主机 : BridgetPC 
IP: 192.134.14.6 IP: 192.134.14.8 IP: 192.134.14.10 









Es Bridget PC? | . 
EE EE 192.134.14.6 BobPC 

; 192.134.14.8 EdPC 
192.134.14.10 | 192.134.14.10 ”BridgetPC 





图 10.1 主机 名 解析 


在 小 型 本 地 网 络 中 ， 主 机 文件 系统 可 以 很 好 地 工作 。 然 而 ， 对 于 大 
型 网 络 ， 这 种 系统 会 变 得 没有 效率 。 主 机 和 IP 地 址 的 关联 被 保存 在 一 个 
文件 中 ， 当 文件 变 大 后 ， 搜 索 文件 的 效率 就 会 变 低 。 在 ARPAnet 时 期 ， 
是 通过 一 个 名 为 hosts.txt 的 文件 来 保存 名 称 与 地 址 关联 的 ， 本 地 网 络 管 
理 员 必 须 不 断 地 更 新 这 个 文件 。 男 外 ， 主 机 名 称 空间 从 本 质 上 来 讲 是 局 
平 的 ， 由 于 所 有 的 节点 都 是 平等 的 ， 因 此 名 称 解 析 系 统 无 法 利用 IP 地 址 
空间 高 效率 的 层次 结构 。 

即使 ARPAnet 的 工程 师 们 能 够 解决 这 这 些 问 题 ， 在 拥有 几 百 万 个 节 
点 的 巨型 网 络 ( 例 如 Internet〉 中 ， 主 机 文件 系统 也 不 可 能 很 好 地 工作 。 
工程 师 们 知道 他 们 需要 一 种 具有 层次 的 名 称 解析 系统 ， 这 种 系统 必须 能 
够 完成 以 下 工作 。 

> 将 名 称 解 析 的 工作 分 配给 一 组 专用 的 名 称 解 析 服 务 器 。 名 称 解 
析 服 务 器 维护 定义 了 名 称 以 及 关联 IP 地 址 的 列表 。 

> 将 本 地 名 称 解析 的 权利 授予 本 地 管理 员 。 换 句 话 说 ， 就 是 不 再 
有 一 个 中 心 掌 握 了 所 有 名 称 〈 地 址 对 ) ， 而 是 让 网 络 A 中 的 管理 员 负 责 
网 络 A 的 名 称 解 析 ， 网 络 B 的 管理 员 管 理 网 络 B 的 名 称 解析 。 通 过 这 种 方 
































法 ， 对 某 个 网 络 的 变化 负 有 管理 贡 任 的 人 员 同 时 也 束 能 够 使 得 这 些 变 化 
及 时 反映 到 名 称 解 析 体 系 结构 中 。 

根据 这 些 要 求 ， 开 发 出 了 域名 系统 (Domain Name System， 
DNS) 。DNS 是 Intemet 上 使 用 的 名 称 解析 方法 ， 是 Internet 名 称 〈 比 如 
www.unixreview.com 和 www.slashdot.org) 的 通用 命名 根据 。 在 本 章 的 后 
面部 分 会 介绍 ，DNS 将 名 称 空 间 分 隔 成 了 具有 层次 的 实体 ， 这 些 实体 称 
为 域名 。 域 名 可 以 包含 主机 名 ， 这 种 域名 被 称 为 完全 限定 域名 ( FQDN 
) 。 例 如 ， 在 域 whitehouse.gov 中 主机 名 为 maybe 的 计算 机 ， 其 FQDN 惑 
是 maybe.whitehouse.gov。 

随 着 时 间 的 推移 ，DNS 系统 也 在 持续 发 展 ，DNS 现在 可 以 提供 更 
好 的 安全 、 动 态 地 址 映射 和 上 自动 友 现 等 功能 选项 。 本 章 将 会 描述 主机 名 
解析 和 DNS 名 称 解 析 ， 还 会 介绍 男 一 种 在 Microsoft 网 络 中 常用 的 名 称 解 
析 系 统一 NetBIOS 。 


10.2 主机 文件 进行 名 称 解 


本 章 前 面 讲 到 ， 主 机 文件 是 一 个 保存 有 一 个 主机 名 、 相 关 IP 地 址 列 
表 的 文件 。 主 机 名 解析 是 在 更 复杂 的 DNS 名 称 解析 之 前 被 开发 出 来 的 。 
虽然 在 当今 的 环境 中 ， 由 于 存在 更 新 和 更 复杂 的 名 称 解析 方法 ， 主 机 文 
件 变 得 有 些 不 合 时 宜 。 但 是 ， 要 想 讨论 名 称 解 析 ， 这 种 旧 的 技术 是 一 个 
很 好 的 起 点 。 

在 小 型 网 络 上 配置 主机 名 解析 通常 很 简单 作 。 支 持 TCP/IP 的 操作 
系统 都 能 识别 主机 文件 ， 并 可 以 将 它 用 于 名 称 解析 ， 而 且 期 间 几 乎 不 需 
要 用 户 干预 。 根 据 实现 的 不 同 ， 配 置 主机 名 称 解 析 的 细节 也 有 所 不 同 。 
大 概 的 步骤 如 下 所 示 。 

1. 为 每 台 计 算 机 分 配 IP 地 址 和 主机 名 。 

2. 创建 映射 了 IP 地 址 和 所 有 计算 机 主机 名 的 主机 文件 。 这 些 文件 
的 名 称 一 般 是 hosts， 有 些 则 使 用 hosts.txt 作 为 文件 名 。 

3. 将 主机 文件 放置 每 台 计 算 机 的 指定 位 置 上 。 对 于 具体 位 置 ， 每 
种 操作 系统 都 有 目 己 的 规定 。 

主机 文件 中 保存 了 需要 与 本 机 通信 的 主机 信息 ， 在 这 个 文件 中 可 以 
输入 IP 地 址 以 及 与 之 相关 的 主机 名 、FQDN 或 其 他 静态 别名 。 男 外 ， 主 
机 文件 中 还 保存 了 一 个 环 回 地 址 条 目 127.0.0.1。 这 个 环 回 地 址 主要 用 于 
TCP/IP 诊 断 并 表示 “本 机 ”。 

下 面 就 是 一 个 主机 文件 的 例子 “系统 的 卫 地 址 位 于 左 侧 ， 随 后 是 主 
机 名 和 关于 本 条 目的 一 些 可 选 说 明 ) : 

127.0.0.1 localhost #this machine 









































198.1.14.2 bobscompnuter #Bob's workstation 

198.1.14.128 r4downtown #gateway 

当 计 算 机 上 的 应 用 程序 需要 将 名 称 解 析 为 IP 地 址 时 ， 系 统 会 首先 将 
这 个 名 称 与 本 机 的 名 称 比较 。 如 果 不 匹配 ， 系 统 会 查看 主机 文件 〈 如 宁 
存在 ) ， 寻 找 其 中 是 否 列 有 这 个 计算 机 的 名 称 。 

如 果 找 到 了 匹配 的 名 称 ， 就 将 IP 地 址 发 向 本 地 计算 机 ， 然 后 使 用 
ARP 来 获得 其 他 系统 的 硬件 地 址 。 接 下 来 就 两 台 计 算 机 就 可 以 进行 通信 


如 果 将 主机 文件 用 于 名 称 解析 ， 那 么 每 当 网 络 变化 时 ， 都 必须 编辑 
或 替代 每 一 台 计 算 机 上 的 主机 文件 。 有 很 多 文本 编辑 器 都 可 以 用 来 编辑 
主机 文件 。 在 UNIX 或 Linux 系 统 上 ， 可 以 使 用 vi、Pico 或 Emacs， 在 
Windows 系 统 上 可 以 使 用 Notepad。 有 些 系 统 还 提供 TCP/IP 配 置 工具 ， 
作为 配置 主机 文件 的 用 户 接口 。 

在 创建 或 编辑 主机 文件 时 ， 需 要 记 住 下 面 几 个 关键 点 。 

> IP 地 址 必须 在 最 左边 ， 并 且 必 须 用 一 个 或 多 个 空格 将 其 与 主机 
名 隔 开 。 

> 名 称 必 须 用 至 少 一 个 空格 分 隔 开 。 

一 行 中 的 其 他 名 称 是 第 一 个 名 称 的 别名 。 

> 文件 的 解析 〈 即 计算 机 的 读 取 顺序 ) 是 从 头 至 尾 进行 的 。 只 有 
人 
须 僵 仔 目 。 

> 因为 解析 是 从 头 至 尾 进行 的 ， 所 以 应 该 将 最 党 用 的 名 称 放 在 列 
表 的 前 面 ， 这 样 可 以 加 快 名 称 解 析 的 过 程 。 

> # 符 写 的 右 侧 可 以 放置 注释 。 

Pd 
文件 。 

> 尺 管 在 主机 文件 中 允许 出 现 FQDN， 但 是 在 主机 文件 中 使 用 它们 
可 能 导致 一 些 管理 员 很 难 诊断 的 问题 。 控 制 主机 文件 的 本 地 管理 员 无 法 
控制 远程 网 络 上 的 耳 地址 和 主机 名 的 分 配 。 因 此 ， 如 果 远 程 网 络 上 的 服 
务 器 被 分 配 了 一 个 新 的 卫 地 址 ， 而 本 地 主机 文件 中 的 FQDN 又 没有 更 
新 ， 主 机 文件 会 继续 指向 旧 的 IP 地 址 。 

对 小 型 的 、 独 立 的 TCP/IP 网 络 来 说 ， 主 机 文件 是 一 种 高 效 且 简单 
的 名 称 解析 方法 。 当 然 ， 现 在 所 谓 独 立 的 网 络 已 经 越 来 越 少 了 。 由 于 
Windows、Mac 和 其 他 操作 系统 为 小 规模 的 网 络 提供 了 更 多 的 自动 化 技 
孚 析 。 



































10.3 DNS 名 称 解 析 


DNS 的 设计 者 们 和 希望 避免 在 每 台 计 算 机 上 不 断 地 更 新 名 称 解 析 文 
件 这 种 情况 。DNS 会 将 名 称 解 析 数 据 放 置 在 一 个 或 多 个 专用 的 服务 右 
上 ， 由 DNS 服 务 器 为 网 络 提供 名 称 解 析 服 务 ( 见 图 10.2〉。 如 果 网 络 上 
的 计算 机 需要 将 某 个 主机 名 解析 成 IP 地 址 ， 会 向 服务 器 发 送 一 个 查询 ， 
询问 与 这 个 地 址 关联 的 主机 名 。 如 果 DNS 服 务 器 保存 了 相应 的 地 址 ， 奈 
将 这 个 地 址 返回 给 发 出 请 求 的 计算 机 。 接 下 来 ， 这 台 计 算 机 会 用 IP 地 
址 来 替代 主机 名 ， 进 而 再 执行 命令 。 当 网 络 上 出 现 的 变化 时 (例如 有 了 
一 台新 计算 机 或 这 更 改 了 一 个 主机 名 ) ， 网 络 管理 员 只 需要 修改 一 次 
DNS 配置 《在 DNS 服务 器 上 ) 。 这 些 新 的 信息 对 任何 同 服务 器 发 出 DNS 
请 求 的 计算 机 都 是 可 用 的 。 另 外 ，DNS 服 务 器 还 可 以 优化 搜索 的 速度 ， 
因此 ， 相 对 于 在 每 台 计 算 机 都 分 别 搜索 笨重 的 主机 文件 ，DNS 服务 器 
可 以 文 持 更 大 规模 的 数据 库 。 

与 主机 文件 名 称 解 析 相 比 ， 图 10.2 中 的 DNS 服务 器 有 多 个 优点 ， 它 
为 本 地 网 络 提供 了 一 个 单一 的 DNS 配置 点 ， 使 得 网 络 资源 的 利用 更 加 有 
效 。 然 而 ， 图 10.2 所 示 的 配置 仍然 无 法 提供 非 中 心 化 的 管理 巨型 网 络 的 
能 力 。 与 主机 文件 类 似 ， 图 10.2 中 的 名 称 服务 器 也 无 法 高 效 地 保存 有 
Internet 上 所 有 主机 名 的 数据 库 。 即 使 可 以 ， 从 后 勤 文 持 角度 来 说 ， 维 
护 所 有 Internet 信 息 的 数据 库 也 是 不 允许 的 。 配 置 这 种 服务 器 的 人 员 必 须 
知道 世界 上 任何 一 个 地 方 的 mnternet 主 机 所 发 生 的 变化 。 

对 于 设计 者 说 ， 一 个 更 好 的 解决 方案 是 允许 每 个 办 公 室 或 机 构 可 以 
配置 图 10.2 中 所 示 的 本 地 名 称 服 务 器 ， 并 使 所 有 的 名 称 服务 器 都 可 以 彼 
此 通信 ( 见 图 10.3〉。 在 这 种 情况 下 ， 当 DNS 客 户 端 同名 称 服 务 器 发 送 
名 称 解 析 请 求 时 ， 名 称 服务 器 会 进行 按 下 面 一 种 情况 进行 处 理 。 











DNS 服务 器 DNS 服务 器 





图 10.3 在 大 型 网 络 中 ，DNS 服 务 器 通过 与 其 他 服务 器 进行 通信 ， 以 提供 
名 称 解析 服务 


> 如 果 名 称 服务 器 在 自己 保存 的 地 址 数据 库 中 发 现 了 被 请 求 的 地 
址 ， 则 将 这 个 地 址 发 回 给 客户 端 。 

> 如 果 名 称 服务 器 在 自己 保存 的 记录 中 没有 找到 这 个 地 址 ， 会 要 
求 其 他 的 名 称 服务 器 查找 这 个 地 址 ， 接 着 将 这 个 地 址 发 回 给 客户 端 。 

那么 在 查询 IP 地 址 的 过 程 开 始 后 ， 第 一 个 服务 器 是 如 何 知 道 需 要 与 
哪个 服务 器 联系 呢 ?” 实 际 上 ， 这 个 查询 的 过 程 与 DNS 名 称 空间 的 设计 是 
紧密 相关 的 。 记 住 ，DNS 并 不 是 只 使 用 主机 名 的 。 本 章 前 面 讲 到 ，DNS 
ep 





DNS 名 称 空间 是 一 个 多 层 排列 的 域名 〈 见 图 10.4〉。 一 个 域名 就 
是 一 组 计算 机 ， 这 些 计 算 机 位 于 同一 个 授权 环境 中 ， 共 享 着 名 称 空间 的 
同一 个 部 分 (也 就 是 具有 相同 的 域名 〉 。 在 DNS 树 的 顶端 是 名 称 为 root 
的 根 节 点 。root 有 时 候 会 显示 为 符号 “>”， 但 root 实 际 的 符号 为 null 字 符 。 
在 root 之 下 是 一 组 顶级 域名 (Top Level Domain，TLD) 。 图 10.4 所 示 的 
TLD 是 世界 上 最 著名 的 DNS 名 称 空间 : Internet。TLD 包 括 了 常见 
的 .com、.org 和 .edu 域名 ， 以 及 用 于 国家 政府 的 域名 ， 例 如 .us“〈 美 
国 ) 、.uk (英国 ) 、.fr (法 国 ) 和 .jp (日 本 ) 。 


Root (.) 











macmillan.com sun.com 


sams.macmillan.com que.macmillan.com 
图 10.4 DNS 名 称 空间 


在 这 些 顶 级 域名 下 是 另 一 个 域名 层 ， 这 个 域名 层 〈 在 Internet 中 ) 
是 由 企业 、 季 候 或 组 织 控 制 的 。 这 些 机 构 名 称 会 作为 TLD 的 前 级 。 例 
如 ， 在 图 10.5 中 ，DeSade College 的 域名 是 DeSade.edu。 被 授予 域名 的 
组 织 可 以 创建 一 个 或 多 个 其 他 的 子 域名 层 。 每 一 层 中 ， 本 地 域名 的 名 称 
都 是 父 域名 的 前 级 。 例 如 ，DeSade 的 娱乐 才艺 部 门 的 域名 就 是 
flames.DeSade.edu( 见 图 10.5，， 而 大 众 休息 室 〈( 学 生 通 常会 称 之 为 “地 
牢 ”) 的 域名 则 是 dungeon.flames.DeSade.edu。 总 的 来 说 ，DNS 系 统 支持 
多 达 127 层 的 域名 ， 不 过 很 长 的 域名 也 会 使 人 感到 非常 头疼 。 
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图 10.5 一 个 适当 的 DNS 场景 


注意 : 域名 层 
如 果 经 常 使 用 Internet， 就 需要 注意 ， 带 有 几 个 级 别 的 扩展 域名 
(如 图 10.5 所 示 的 场景 ) 并 不 常见 。 在 .com TLD 中 的 网 站 ， 一 般 会 用 





www 前 级 做 标记 : www.ibm.com。 然 而 ， 请 记 住 ， 网 站 可 能 是 位 于 一 台 
服务 器 上 ， 也 可 能 位 于 某 个 地 方 的 一 组 服务 器 上 。 由 于 多 层 域名 在 网 络 
管理 中 的 使 用 ， 人 们 融 能 够 访问 分 布 在 大 型 企业 网 络 上 的 资源 ， 而 这 些 
0 

域名 显示 的 是 从 树 的 顶端 开始 的 名 称 链 。sams.com 的 域名 服务 器 中 
保存 了 sams.com 下 所 有 主机 的 名 称 解析 信息 。 在 本 域 中 被 授权 的 名 称 服 
务 器 可 以 将 关于 子 域 的 名 称 解析 委派 给 其 他 的 服务 器 。 例 如 ，sams.com 
的 授权 名 称 服务 器 可 以 将 子 域 edit.sams.com 授 权 给 其 他 的 名 称 服务 器 进 
行 解析 。 子 域名 edit.sams.com 的 名 称 解 析 记 录 位 于 委派 子 域名 解析 授权 
的 名 称 服务 器 上 。 对 名 称 解 析 的 授权 可 以 通过 一 个 树 状 结构 委派 ， 指 定 
域 的 管理 员 可 以 控制 本 域 中 所 有 主机 的 名 称 与 地 址 的 映射。 

当 网 络 上 的 主机 需要 IP 地 址 时 ， 通 常会 发 送 一 个 递归 的 查询 给 附近 
的 名 称 服务 器 。 这 个 查询 要 求 名 称 服务 器 “要 么 返回 与 此 名 称 相 关 的 IP 











地 址 ， 要 么 告诉 我 无 法 找到 这 个 地 址 >”。 如 果 名 称 服务 器 在 自己 的 记录 
中 没有 找到 被 请 求 的 地 址 ， 可 以 局 动 一 个 查询 过 程 ， 询 问 其 他 的 名 称 服 
务 句 能 侍 获 得 这 个 地 址 。 图 10.6 展 示 了 查询 的 过 程 。 名 称 服务 絮 A 使 用 
了 一 个 迭代 的 查询 过 程 来 查找 地 址 。 这 个 迭代 的 查询 过 程 会 通知 下 一 个 
名 称 服务 器 “要 么 返回 IP 地 址 ， 要 么 告诉 我 在 哪里 可 能 会 找到 这 个 地 
址 ?。 这 个 过 程 可 以 总 结 为 ， 客 户 端 发 送 一 个 递归 得 询 给 名 称 服 务 右 ; 
接 下 来 ， 这 个 名 称 服务 器 会 发 送 一 系列 的 从 代 碍 询 给 其 他 的 名 称 服务 器 
来 解析 这 个 名 称 。 当 名 称 服务 器 获得 了 与 名 称 相关 的 地 址 时 ， 惑 使 用 这 
个 地 址 来 回复 客户 端的 查询 。 













IP for trog. DoglIn,,. 





IP is 192.134.14.21 


图 10.6 域名 解析 的 过 程 





DNS 名 称 解析 的 过 程 如 下 所 示 《〈 见 图 10.6) 。 

1. 主机 1 同名 称 服务 器 A 发 送 了 一 个 查询 ， 请 求 查 找 域名 
trog.DoglInStarlight.marines.mil 的 IP 地 址 。 

2. 名 称 服务 器 查找 自己 保存 的 记录 ， 看 能 否 找 到 这 个 被 请 求 的 IP 
地 址 。 如 果 服 务 器 A 中 有 这 个 地 址 ， 将 此 地 址 返回 给 主机 1。 





3. 如 果 服 务 器 A 没有 这 个 地 址 ， 则 发 起 查找 地 址 的 过 程 。 名 称 服 
务 器 A 发 送 迭 代 请 求 给 .mil 域 的 顶级 名 称 服 务 器 B， 询 问 
trog.DogInStarlight.marines.mil 的 相关 地 址 。 

4. 名 称 服务 器 B 无 法 提供 这 个 地 址 ， 但 是 会 将 域 marines.mil 的 名 称 
服务 器 (服务 器 C) 地址 发 给 服务 器 A。 

5. 服务 器 A 同 服 务 器 C 发 送 查 询 地 址 请 求 。 服 务 器 C 无 法 提供 这 
个 地 址 ， 就 将 DogInStarlight.marines.com 的 名 称 服务 器 (服务 器 D)〉 地 址 
发 给 服务 器 A。 

6. 服务 器 A 同 服 务 器 DD 发 送 查 询 地 址 请 求 。 名 称 服务 右 D 找 到 了 
DogInStarlight. marines.com 的 地 址 ， 就 将 这 个 地 址 发 给 名 称 服务 器 A。 
名 称 服 务 器 A 接着 会 将 这 个 地 址 发 给 主机 1。 

7. 主机 1 发 起 与 主机 DogInStarlight.marines.com 的 连接 。 

该 过 程 每 天 在 Internet 上 会 出 现成 和 干 上 万 次 ， 由 于 当今 网 络 的 其 他 
一 些 特性 (例如 地 址 缓存 、DHCP 和 动态 DNS) ， 这 个 过 程 也 变 得 不 再 
i 然而 ， 大 多 数 TCP/IP 网 络 的 功能 仍然 会 依赖 这 种 形式 的 DNS 

称 解 析 。 

另 一 个 需要 值得 注意 的 重点 是 ， 并 不 是 每 一 个 域 树 中 的 节点 都 必须 
单独 拥有 名 称 服 务 器 。 一 个 名 称 服 务 器 可 以 控制 多 个 域 。 当 然 ， 一 个 域 
中 也 常常 会 使 用 多 个 域名 服务 器 。 


10.4 注册 域 


Intermmet 仪 仪 是 DNS 名 称 空间 的 一 个 例子 。 用 户 可 以 在 没有 连接 到 
Internet 的 状况 下 使 用 DNS。 如 果 没 有 连接 Internet， 就 不 必 关 心 域名 的 
注册 。 然 而 ， 需 要 在 Internet 上 使 用 自己 域名 (例如 BuddysCars.com) 的 
组 织 则 必须 回 相 应 的 注册 授权 部 门 注 册 这 个 名 称 。 

ICANN 会 监管 域名 注册 的 任务 ， 但 对 会 将 特定 TLD 的 注册 委派 给 其 
他 组 织 。 下 面 是 一 些 常用 TLD 的 注册 服务 。 

> .com、.org 和 .net: 一 些 公 司 ( 被 称 为 注册 登记 机 构 〉 可 以 提供 
对 .com、.org 和 .net 以 及 其 他 人 们 不 熟悉 的 某 些 域名 ( 例 
如 .info、.museum、.name 和 .pro) 的 名 称 解析 服务 。 在 
http://www.internic.net/regist.html 上 可 以 找到 ICANN 授 权 的 注册 登记 机 
构 。 

> .gov: .gov 域 名 为 美国 联邦 政府 保留 。 州 和 地 方 政府 的 域名 来 自 
于 U.S.TLD。.gov 域 名 的 注册 服务 位 于 
https://www.dotgov.gov/portal/web/dotgov/welcome.。 


其 他 的 域 以 及 与 域 相关 的 国家 ,注册 过 程 则 有 很 多 不 同 。 

















注意 : 注册 游戏 

最 近 几 年 ， 名 称 注册 的 游戏 变 得 越 来 越 具 有 苋 争 性 。 有 些 公司 的 业 
务 已 经 超出 了 域名 注册 本 和 喘 ， 而 是 更 关注 于 其 投机 的 价值 。 你 可 能 在 
Web 浏 览 器 中 输入 了 错误 的 名 称 ， 此 时 却 突然 出 现 了 一 个 页 面 ， 询 问 你 
是 否 希 望 注册 刚 刚 输 入 的 名 称 。 如 果 你 想 要 注册 一 个 名 称 ， 可 以 直接 使 
用 官方 注册 机 构 。 专 家 建议 可 以 通过 直接 在 Web 浏 览 器 中 输入 域名 来 查 
看 域名 是 否 已 被 注册 。 有 些 用 户 发 现 当 输入 了 地 址 后 ， 会 看 到 他 们 想 要 
注册 的 名 称 不 知道 在 什么 情况 下 被 一 个 投机 者 注册 了 《尽管 主要 的 
Internet 公 司 都 拒绝 进行 这 样 的 注册 ) 。 


10.5 名 称 服 务 器 类 型 


在 网 络 上 实现 DNS 时 ， 人 至 少 需 要 选择 一 个 服务 器 来 负责 维护 域 的 
信息 。 这 个 服务 器 就 是 首选 名 称 服务 器 ， 它 可 以 从 本 地 文件 中 获得 其 负 
{区域 的 所 有 信息 。 在 域 中 的 任何 修改 都 应 该 反映 到 这 个 服务 器 上 。 

许多 网 络 通常 还 会 有 一 个 或 多 个 服务 器 作为 备份 或 备用 域名 服务 
器 。 如 果 主 服务 器 过 到 了 问题 ， 可 以 用 这 台 服 务 器 继续 提供 服务 。 备 用 
域名 服务 器 从 首选 服务 器 的 区 域 文件 中 获得 需要 的 信息 。 这 种 信息 交互 
的 方式 称 为 区 域 传送 (Zone Transfer) 。 

第 3 种 类 型 的 服务 器 被 称 为 只 缓存 (caching-only)〉 服务 器 。 绥 存 是 
计算 机 内 存 的 一 部 分 ， 用 来 保存 被 频繁 请 求 的 数据 ， 以 便于 提供 更 好 访 
问 服务 。 只 绥 存 服务 器 会 啊 应 来 自 于 本 地 网 络 客户 端 对 名 称 解 析 的 查询 
请 求 ， 回 其 他 的 DNS 服务 器 查询 域 和 提供 服务 〈 例 如 Web 和 FTP) 计算 
机 的 信息 。 当 从 其 他 DNS 服务 器 收 到 这 些 信 息 后 ， 将 信息 保存 在 缓存 中 
以 便于 啊 应 再 次 对 这 些 信 息 的 查询 请 求 。 

只 绥 存 服务 器 通常 会 被 本 地 网 络 的 客户 端 计 算 机 用 来 进行 名 称 解 
析 。 位 于 Internet 上 的 其 他 DNS 服务 器 并 不 知道 这 些 服 务 器 的 存在 ， 
此 也 就 不 会 查询 它们 。 这 种 服务 器 很 适合 分 担 服务 器 上 的 负载 。 此 外 ， 
只 缓存 服务 器 的 维护 也 很 简单 。 

注意 : DNS 实现 

在 运行 DNS 服务 器 的 机 器 上 ，DNS 必须 被 实现 为 服务 或 后 台 程 
序 。Windows 服 务 器 自 带 一 个 DNS 服务 。 当 然 ， 有 些 管理 员 会 倾向 于 使 
用 第 三 方 的 DNS 实现 。 在 UNIX/Linux 上 则 有 很 多 DNS 的 实现 ， 其 中 最 常 
用 的 是 Berkeley Internet Name Domain (BIND) 。 


10.5.1 域 和 区 域 


在 一 组 公共 DNS 服务 器 上 配置 的 DNS 主机 的 集合 被 称 为 “区 域 
(zone) ”。 在 简单 网 络 上 ， 一 个 区 域 可 能 会 表示 一 个 完整 的 DNS 域 。 
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例如 ， 域 punyisp.com 可 能 作为 单独 的 区 域 进行 DNS 配置 。 在 复杂 的 网 络 
上 ， 对 子 域 的 DNS 配 置 有 时 会 被 委派 给 其 他 的 区 域 。 区 域 委 派 使 得 负责 
子 网 管理 的 管理 员 能 够 直接 管理 子 网 的 DNS 配 置 。 例 如 ， 域 
cocacola.com 的 管理 员 会 将 子 域 dallas.cocacola.com 的 DNS 配置 委派 给 
一 个 区 域 ， 而 这 个 区 域 是 由 Dallas 办 公 室 中 的 管理 员 控 制 的 ， 这 样 就 能 
够 近 距 离 的 对 域 dallas.cocacola.com 上 的 主机 进行 监视 。 

那么 区 域 与 域 有 什么 不 同 呢 ? 除了 细微 的 语义 差别 外 《 域 是 名 称 空 
间 的 一 部 分 ， 而 区 域 则 表示 一 个 主机 的 集合 ) ， 区 域 和 域 的 概念 并 不 是 
并 行 的 。 在 阅读 本 节 内 容 时 ， 请 记 住 以 下 内 容 。 

> 作为 子 域 的 成 员 目 然 也 就 是 父 域 的 成 员 。 例 如 ， 
dallas.cocacola.com 中 的 主机 也 是 cocacola.com 域 的 一 部 分 。 与 之 相反 ， 
如 果 域 dallas.cocacola.com 被 委派 给 一 个 区 域 ， 

则 dallas.cocacola.com 上 的 主机 并 不 是 cocacola.com 区 域 的 一 部 分 。 

> 如 果子 域 没 有 被 专门 委派 ， 就 不 需要 单独 的 区 域 ， 只 用 将 它 包 
含 在 父 域 的 区 域 文件 中 。 

如 何 委派 DNS 区 域 则 取 雇 于 DNS 服务 器 应 用 程序 。 当 前 ， 最 重要 的 
事情 是 记 住 ， 区 域 用 于 表示 一 组 DNS 服务 器 和 主机 上 的 一 个 配置 集合 ， 
人 以 便 提 高 管理 
入 2 a 

1. 区 域 文件 

上 一 市 讲 到 ， 一 个 DNS 区 域 就 是 一 个 可 管理 的 单元 。 这 个 单元 表示 
的 是 ， 位 于 DNS 名 称 空间 中 某 个 部 分 上 的 计算 机 的 集合 。 区 域 的 DNS 配 
置 存储 在 一 个 区 域 文件 中 。 当 需要 啊 应 查 讯 和 发 起 查询 时 ，DNS 服 务 右 
会 引用 区 域 文件 中 的 信息 。 区 域 文件 是 一 个 带 有 标准 架构 的 文本 文件 。 
区 域 文件 的 内 容 有 多 个 资源 记录 构成 。 一 个 资源 记录 就 是 一 行文 本 ， 提 
供 了 一 组 有 用 的 DNS 配 置信 息 。 下 面 是 一 些 常 用 的 资源 记录 类 型 。 

> SOA: SOA 表 示 权 力 的 起 始点 (Start of Authority) 。SOA 记 录 
为 区 域 指定 了 权威 名 称 服务 器 。 

> NS: NS 表示 名 称 服务 器 (Name Server) 。NS 记 录 为 区 域 指定 
了 一 个 名 称 服务 堪 。 虽 然 区 域 中 可 以 有 多 个 名 称 服务 器 《〈 因 此， 也 就 会 
有 多 条 NS 记录 ) ， 但 是 只 能 有 一 条 指定 权威 名 称 服务 器 的 SOA 记 录 。 

> A: A 记录 用 于 将 DNS 名 称 映 射 到 IP 地 址 。 

> AAAA: AAAA 记 录 将 DNS 名 称 映射 到 IPv6 地 址 。 

> PTR: PTR 记 录用 于 将 IP 地 址 映射 到 DNS 名 称 。 

> CNAME: CNAME 是 规范 名 称 (canonical name) 的 缩写 。 
CNAME 记 录用 于 将 一 个 别名 映射 到 一 个 由 A 记录 表示 的 实际 主机 名 。 






































因此 ， 区 域 文 件 可 以 告知 DNS 服务 器 如 下 内 容 : 

> 区 域 的 权威 DNS 服务 器 。 

区 域 中 的 DNS 服务 器 《权威 的 和 非 权 威 的 ) 。 

> 区 域 中 主机 别名 所 表示 的 主机 的 DNS 名 称 到 耳 地 址 的 映射 ， 主 
机 别名 是 主机 的 另外 一 个 名 称 。 

其 他 的 资源 记录 类 型 提供 相关 主题 的 信息 ， 例 如 邮件 服务 器 (MX 
记录 ) 、IP 到 DNS 名 称 的 映射 (PTR 记录 ) 以 及 熟知 的 服务 (WKS 记 
录 ) 。 下 面 是 一 个 区 域 文件 的 示例 : 

@IN SOA boris.cocacola.com. hostmaster.cocacola.com. ( 

201.9 ; serial number incremented with each 
; file update 


3600 ; refresh time (in seconds) 
1800 ;retry time (in seconds) 
4000000 ; expiration time (in weeks) 
3600) ; minimum TTL 

INNS horace.cocacola.com. 

INNS boris.cocacola.com. 


; Host to IP address mappings 


localhost IN A 127.0.0.1 
chuck IN A 181.21.23.4 
amy IN A 181.21.23.5 
darrah IN A 181.21.23.6 
joe IN A 181.21.23.7 
bill IN A 181.21.23.8 


Aliases 


ap IN CNAME ah 

db IN CNAME darrah 

bu IN CNAME bill 

注意 ，SOA 记 录 包 含 了 几 个 参数 ， 这 些 参数 用 于 控制 如 何 使 用 首选 
服务 器 上 的 区 域 数 据 副 本 来 更 新 备用 DNS 服务 器 。 除 了 表示 区 域 文件 版 
本 的 序列 号 外 ， 其 他 参数 用 于 指定 下 面 的 内 容 。 

> Refresh time: 表示 备用 DNS 服务 请 求 首选 服务 器 更 新 其 区 域 信 


恩 的 时 间 间 隔 。 

> Retry time: 指定 在 区 域 更 新 未 成 功 时 ， 需 要 等 竺 多 长 时 间 ， 才 
应 再 次 进行 尝试 。 

> Expiration time: 指定 备用 名 称 服务 器 保留 未 刷新 记录 的 上 限时 
间 。 

> Minimum Time-to-Live (TITL ) : 指定 被 输出 区 域 记录 的 默认 


SOA 记 录 的 最 右 侧 是 负责 区 域 管理 的 管理 员 的 邮件 地 址 。 用 @ 符 号 
蔡 代 第 一 个 符号 “.”， 就 是 实际 的 邮件 地 址 。 

当然 ， 上 面 的 例子 是 一 个 最 简单 的 区 域 文件 。 更 大 的 文件 可 能 会 包 
含 数 百 条 地 址 记录 和 其 他 一 些 不 第 用 的 记录 类 型 (用 于 表示 配置 的 其 他 
部 分 )。 区 域 文件 的 名 称 以 及 格式 ， 根 据 DNS 服 务 占 软件 的 不 同 也 有 所 
不 同 。 这 个 例子 是 根据 流行 的 BIND (Berkeley Internet Name Domain) 
生成 的 ，BIND 是 Internet 上 最 常见 的 名 称 服 务 器 。 

此 外 ， 还 需要 记 住 的 是 ， 通 过 操作 文本 文件 来 配置 服务 已 经 越 来 越 
不 受 欢 迎 了 。 许 多 DNS 服务 器 应 用 程序 都 提供 了 用 户 界 面 来 隐藏 区 域 文 
件 的 细节 。 动 态 DNS (本章 后 面 会 讲 到 〉 还 提供 了 用 于 一 个 专门 用 来 隐 
藏 配置 细节 的 分 层 。 

2. 逆 癌 查找 区 域 文件 

DNS 名 称 解 析 中 需要 的 为 一 种 区 域 文件 类 型 是 逆 疝 查找 文件 。 当 客 
户 端 提供 了 IP 地 址 ， 要 求 查 找 相应 的 主机 名 时 会 使 用 这 个 文件 。 在 IP 地 
址 中 ， 最 左边 的 是 通用 的 部 分 ， 最 右面 的 部 分 是 特定 的 部 分 ， 而 域名 则 
正 相 反 : 左边 的 是 特定 的 部 分 ， 右 面 的 部 分 (例如 com 或 edu)〉 是 通用 的 
部 分 。 要 想 创 建 逆向 查找 区 域 文件 ， 必 须 将 网 络 地 址 进行 翻转 ， 以 便于 
通用 和 特定 部 分 的 顺序 与 域名 的 样式 相同 。 例 如 ， 应 用 于 192.59.66.0 网 
络 的 区 域 的 名 称 应 该 是 66.59.192. in-addr.arpa。 

in-addr 部 分 表示 道 向 地 址 ， 而 arpa 部 分 是 另 一 个 TLD， 即 来 源 于 
Internet 的 前 号 ARPAnet。 

该 文件 作为 一 个 普通 的 区 域 文件 开始 〈 见 前 面 的 例子 )， 具 有 一 条 
SOA 记 录 和 NS 记录 ， 其 中 后 者 定义 了 区 域 的 名 称 服务 器 ， 但 是 它 没有 
使 用 将 域名 映射 为 地 址 的 A 记录 ， 而 是 包含 一 条 将 地 址 映射 为 名 称 的 
PTR 记 录 。 在 地 址 映射 中 ， 只 包含 了 地 址 的 主机 部 分 。 网 络 部 分 来 自 于 
文件 名 。 

; Zone file for 23.21.181.in-addr.arpa 
@ IN SOA boris.cocacola.com. hostmaster.cocacola.com ( 
201.9 ; serial number incremented with each 
; file update 


TTL 





























3600 ; refresh time (in seconds) 
1800 ; retry time (in seconds) 
4000000 ; expiration time (in weeks) 

3600) ; minimum TTL 

IN NS horace.cocacola.com. 

IN NS boris.cocacola.com. 


IP address to host mappings 


4 IN PTR chuck 

5 IN PIR amy 

第 13 章 将 会 讲 到 ， 下 一 代 IPv6 包 含 一 个 128 位 的 地 址 空间 。 尽 管 逆 
问 碍 找 区 域 文 件 在 了 Pv6 子 网 上 的 作用 证 然 相同 ， 但 是 文件 名 将 发 生变 
化 ， 而 且 其 中 的 条 目 也 变 得 更 长 。 

IPv6 逆 回 碍 找 区 域 文 件 的 最 初 计 划 是 使 用 ip6.int 结 尾 ， 但 是 Internet 
如 今 正 在 转换 为 以 ipv6.arpa 结 尾 。 我 们 可 能 还 会 遇 到 其 他 形式 。 对 IPv4 
而 言 ， 地 址 的 网 络 部 分 在 文件 名 中 得 到 反映 《以 逆序 ) ， 而 主机 ID 则 
是 作为 文件 中 的 一 个 条 目 给 出 的 (也 是 逆序 ) ， 它 映射 到 一 个 主机 名 
称 。 有 关 IPv6 的 详情 ， 请 见 第 13 章 。 

10.5.2 DNS 安全 扩展 CDNSSEC ) 


DNS 系统 已 经 为 mnternet 社 区 服务 了 很 长 时 间 ， 用 户 在 查询 名 称 服务 
时 ， 也 习惯 了 人 快速 高 效 地 接收 到 应 答 。 说 实话 ，Internet 作为 世界 范围 
内 的 终端 用 户 企 业 ， 如 果 没 有 DNS， 则 根本 无 法 运行 。 然 而 ，DNS 系 
统 最 初 在 开发 之 时 ， 专 家 们 就 已 经 认识 到 它 存在 与 生 俱 来 的 不 安全 性 。 

DNS 数据 是 公共 的 ， 在 这 种 情况 下 ， 安 全 性 不 再 意味 着 私密 性 。 但 
是 客户 端 仍然 需要 一 些 方法 来 确保 对 DNS 请 求 的 答复 是 来 自 于 真实 的 
DNS 服务 器 ， 而 且 这 个 服务 器 应 该 由 区 域 进行 监管 。 

攻击 者 已 经 开发 了 几 种 技术 来 针对 DNS 查询 发 送 伪造 的 响应 。 解 惑 
了 DNS 请 求 的 攻击 者 可 以 发 送 伪造 的 啊 应 ， 将 客户 端 重 定向 到 秘密 的 
DNS 服务 器 ， 该 服务 器 充当 启动 攻击 的 一 种 手段 。 只 要 伪造 的 回复 先 于 
真实 的 回复 到 达 DNS 客 户 端 ， 则 该 客户 端 就 落 入 了 圈套 。 

这 个 问题 的 解决 方案 是 提供 一 种 方式 来 验证 返回 的 DNS 数据 源 的 有 
效 性 。DNS 安 全 扩展 (DNSSEC) 提供 了 验证 DNS 数据 有 效 性 的 系 
统 。 如 今 很 多 操作 系统 都 提供 了 DNSSEC 选 项 ， 但 是 该 DNSSEC 仍 然 没 
有 大 范围 的 实现 。 但 是 有 些 高 性 能 (high-profile) 的 域 已 经 全 面 支持 





























DNSSEC， 使 得 DNSSEC 慢 慢 被 公众 所 接受 。 

最 初 的 DNS 安全 系统 于 1999 年 在 RFC 2535 中 定义 ， 但 是 这 个 初始 
系统 在 实现 时 难度 很 大 ， 而 且 也 不 能 很 好 地 扩展 到 Internet 上 ， 所 以 很 
少 使 用 。 在 2005 年 ， 随 着 RFC 4033、4034 和 4035 的 出 现 ， 保 证 DNS 
安全 的 新 一 轮 倡议 再 次 兴起 。 这 个 新 的 DNSSEC 被 几 个 重要 的 TLD 采 
纳 ， 比 如 .com、.org， 以 及 其 他 国家 级 的 域名 。 在 2010 年 发 生 的 国际 化 
域名 入 根 事件 将 会 缓解 公众 认 知 并 接受 域名 的 障碍 。 

DNSSEC 使 用 加 密 密 钥 和 数字 签名 来 提供 安全 。 第 11 章 将 详细 讲 
解 签 名 和 加 密 等 内 容 。 

DNSSEC 需 要 支持 DNS 扩展 机 制 (EDNS) ， 后 者 在 RFC 2671 中 定 
义 。ENDS 的 DO 报头 位 表示 一 个 DNSSEC 查 询 。 

DNSSEC 添 加 了 一 个 验证 过 程 来 DNS 查询 的 结果 是 可 信 的 。 与 基本 
的 DNS 名 称 解 析 过 程 相似 ，DNSSEC 从 一 系列 步骤 到 达 与 给 定 查 询 中 的 
名 字 相 关联 的 区 域 。 但 是 ，DNSSEC 增 加 了 一 个 信任 链 (chain-of- 
trust) 类 型 的 验证 ， 其 理念 是 从 一 个 受信 任 的 开始 ， 将 请 求 沿 着 一 系列 
已 知 的 和 验证 过 的 步骤 向 下 传输 ， 直 到 到 达 这 样 一 个 服务 器 : 该 服务 器 
拥有 一 个 用 来 验证 DNS 数据 来 源 的 签名 。 

为 了 实现 该 目标 ，DNSSEC 添 加 了 4 个 新 的 DNS 资 源 记 录 类 型 。 

> DNSKEY: 用 来 签名 和 验证 DNS 资 源 记 录 集 的 公共 密 钥 。 

> DS: 指向 (并 验证 ) 子 区 域 DNSKEY 的 资源 记录 。 

> RRSIG: 与 区 域 数据 相关 联 的 数字 签名 。 

> NSEC: 包含 权威 数据 (authoritative data) 的 下 一 个 持 有 者 的 名 
称 。 

拥有 安全 DNS 数据 的 服务 器 形成 了 一 个 信任 链 。 解 析 器 
(resolver〉 必须 能 够 独立 访问 与 顶级 区 域 的 DSNKSEY 记 录 相 关联 的 公 
共 密 钥 。 该 密 钥 是 分 别 获得 的 ， 它 可 以 验证 存储 在 信任 锚 (trust 
anchor) 上 的 数据 ， 其 中 包含 一 条 DS 记录 ， 该 记录 在 查询 过 程 的 下 一 
步 对 与 子 区 域 相关 联 的 DNSKEY 进 行 验 证 。 

解析 器 遍历 信任 链 ， 并 使 用 父 区 域 中 的 DS 密 钥 对 低级 子 区 域 中 的 
DNSKEY 进 行 表 历 式 验 证 。 在 最 后 一 步 ，DNSKEY 将 存储 在 RRSIG 资 源 
记录 中 的 数字 签名 进行 解密 ， 然 后 将 其 与 正常 的 NDS 查 询 过 程 返 回 的 签 
名 相 比 较 。 如 果 两 者 相 匹 配 ， 也 就 对 发 送 DNS 查 询 的 源 进行 了 核实 ， 从 
而 数据 是 可 信 的 。 

DNSSEC 的 处 理 过 程 如 图 10.7 所 示 。 信 任 锚 预 配 置 的 密 钥 将 信任 链 
解锁 (在 理想 情况 下 ， TLD 充 当 信 任 锚 ， 但 是 还 有 可 能 存在 其 他 选 
项 ) 。 

存储 在 初始 入 口 点 (initial entry point) 的 DNS 数据 包括 所 有 子 区 域 





























的 DS 记录 。 例 如 ， 用 于 .com 区 域 的 权威 域名 服务 器 包含 famousIT.com 的 
DS 记录 。 这 条 DS 记录 识别 和 认证 子 区 域 的 DNSKEY。 

如 果 名 称 中 包含 一 系列 额外 的 子 区 域 ， 解 析 器 将 处 理 信任 链 ， 依 次 
获得 DS 记录 来 验证 低级 的 DNSKEY。 

当 该 处 理 过 程 到 达 最 低级 的 子 区 域 时 ，DNSKEY 解 密 存 储 在 RRSIG 
人 该 签名 验证 返回 的 DNS 数据 ， 以 响应 最 初 的 查 
18) 。 





DNS 服务 器 


图 10.7 DNSSEC 的 处 理 过 程 


可 以 看 到 ，DNSSEC 取 决 于 DNSKEY 和 DS 资源 记录 之 间 的 交互 链 
(chain of interaction ) 。DNSKEY 和 DS 资源 记录 是 紧密 相关 的 ， 它 们 都 
以 相似 的 信息 为 基础 。RFC 4034 中 提 到 “DS RR 通过 存储 密 钥 标记 、 
算法 数值 ， 以 及 DNSKEY RR 的 摘要 来 引用 DNSKEY RR。DS RR 以 及 与 
其 相应 的 DNSKEY RR 有 同一 个 持 有 者 名 称 ， 但 是 两 者 的 存储 位 置 不 
同 。DR RR 只 出 现在 委派 的 上 〈 父 ) 面 ， 在 父 区 域 中 是 权威 数据 。 例 
如 ，example.com 的 DS RR 是 存储 在 .com 区 域 ， 而 不 是 example.com 区 
域 。 











父 区 域 中 可 能 包含 多 个 子 区 域 的 DS 记录 ， 每 一 个 DS 记录 提供 了 


必要 的 信 ， 忆 来 验证 与 于 区 域 相对 应 的 DNSKEY 记 录 是 否 正 确 ， 而 且 在 信 

RRSIG 记 录 的 另外 一 个 重要 组 成 部 分 包含 区 域 数 据 的 签名 。RFC 
4035 中 提 到 ，“ 为 了 对 一 个 区 域 进行 签名 ， 区 
个 公共 /私有 密 钥 对 ， 并 使 用 私有 密 钥 对 区 域 中 的 权威 RRset 进 
名 。 对 每 一 个 用 来 在 区 域 中 创建 RRSIG 记录 的 私有 密 钥 来 说 ， 
该 包含 一 个 区 域 DNSKEY， 而 且 这 个 区 域 DNSKEY 要 包含 相应 的 公共 
密 钥 。” 

RRSIG 记 录 包 含 像 持 有 者 名 称 、 类 值 (class value) 、TTL 值 、 包 含 
数据 的 区 域 的 名 字 ， 以 及 识别 记录 的 其 他 数据 这 样 的 信息 。 

当 名 称 错 误 或 者 是 在 查询 名 称 的 过 程 中 ， 无 法 使 用 精确 匹配 时 ， 将 
会 用 到 NSEC 记 录 。 

10.5.3 DNS 工具 


用 户 可 以 使 用 任何 文 持 名 称 解析 的 网 络 工具 来 测试 网 络 的 名 称 解析 

否 正 常 。Web 浏 览 器 、FTP 客 户 端 、Telnet 客 户 端 或 ping 工 具 都 可 以 检 
了 能够 成 功 地 进行 名 称 解析 。 如 果 可 以 使 用 IP 地 址 连接 一 
个 资源 ， 而 不 能 使 用 主机 名 或 FQDN 来 连接 资源 ， 问 题 很 可 能 会 出 现 
在 名 称 解析 上 。 

如 果 计 算 机 使 用 了 主机 文件 ， 同 时 也 使 用 了 DNS， 请 记 住 ， 必 须 在 
测试 DNS 时 临时 禁用 或 重 命名 主机 文件 。 人 否则 ， 婚 无 法 确定 名 称 是 通过 
主机 文件 还 是 通过 DNS 解析 的 。 下 面 的 内 容 将 描述 如 何 使 用 ping 工 具 来 
测试 DNS。 之 后 还 会 介绍 NSLookup 工 具 ， 这 个 工具 提供 了 很 多 DNS 配 
置 和 排 错 特 性 。 

1. 使 用 ping 检 查 名 入 尔 解析 

ping 工具 虽然 简单 ， 但 是 很 有 用 ， 它 非常 适合 测试 DNS 配置 。 
ping 会 癌 其 他 计算 机 发 送 一 个 信号 ， 并 等 竺 回复 。 如 果 接 收 到 回复 ， 就 
1 计算 机 是 连接 的 。 如 果 知道 首 远 程 计 算 机 的 IP 地 址 ， 可 以 

通过 输入 卫 地 址 来 ping 这 合计 算 机 : 

ping 198.1.14.2 

如 果 这 个 命令 成 功 ， 表 明 本 机 可 以 与 远程 计算 机 通过 IP 地 址 连接 。 

现在 ， 通 过 输入 DNS 名 称 来 ping 远 程 计算 机 : 

ping williepc.remotenet.com 

如 果 可 以 通过 IP 地 址 连通 远程 计算 机 ， 而 无 法 通过 DNS 名 称 连 通 ， 
则 表示 名 称 解 析 存 在 问题 。 如 果 可 以 通过 DNS 名 称 连通 ， 表 示 名 称 解析 
加配 1 

第 14 章 将 详细 讲解 ping 工 具 。 























2. 使 用 NSLookup 检 查 名 称 解析 

用 户 可 以 使 用 NSLookup 工 具 查 询 DNS 服 务 器 ， 查 看 资源 记录 等 信 
息 。 在 需要 对 DNS 问题 进行 排 错时 这 个 工具 也 十 分 有 用 。NSLookup 工 
具 可 以 按 下 面 两 个 模式 进行 操作 。 

> 批 处 理 模式 : 在 批 处 理 模式 中 ， 用 户 可 以 启动 NSLookup 并 提 
供 一 些 输入 参数 。NSLookup 会 根据 输入 参数 执行 被 请 求 的 功能 ， 显 示 
结果 ， 最 后 关闭 上 自己 。 

> 交互 式 模式 : 在 交互 式 模 式 中 ， 用 户 局 动 NSLookup 时 不 用 提供 
输入 参数 。NSLookup 会 提示 用 户 输 入 参数 。 在 用 户 输 入 了 参数 后 ， 
NSLookup 将 执行 被 请 求 的 操作 ， 显 示 结 果 并 重新 返回 提示 符 状 态 ， 等 
待 接 下 来 被 输入 的 参数 。 大 多 数 管理 员 都 会 使 用 交互 式 模式 ， 这 是 因为 
在 需要 执行 一 系列 操作 时 ， 这 种 模式 更 方便 。 

NSLookup 有 一 个 丰富 的 选项 列表 。 下 面 介 绍 一 下 基本 的 选项 ， 以 
便于 了 解 NSLookup 的 工作 方式 。 

要 想 以 交互 式 模 式 运 行 NSLookup， 可 以 在 命令 提示 符 后 输入 名 称 
nslookup。 

如 图 10.8 所 示 ， 每 次 NSLookup 启 动 时 都 会 给 出 NSLookup 正 在 使 用 
的 DNS 服 务 器 的 名 称 和 IP 地 址 ， 例 如 : 

Default Server: dnsserver.Lastingimpressions.com 

Address: 192.59.66.200 

> 

符号 > 是 NSLookup 的 提示 符 。 











SCommand Prompt ~ nslookup 


> webseruer .1astingimpressions .conm 
Seruer: dnsserver .LastingImpressions.com 
hddress: 192.59.66.269 


ebseruer .1astingimpressions .com internet address : 192.59.66.225 
> dnsserver .lastingimpressions .com 

erver: dnsseruer .LastingIlmpressions.com 

Address: 192.53.66.269 


dnsseruer .lastingimpressions .com internet address : 192.59.66.200 
> ls lastingimpressions.com 
[dnsseruer .LastingImpressions .com] 


lastingimpressions.com . NS server = dnsserver .lastingimpressions 
dnsserver + 192.59.66.296 

Mebseruer + 192.59.66 .225 

> ls -a lastingimpressions ,com 

[dnseeruer .Lastinglmpressions .com] 

WWH CNAME webserver .lastingimpressions.com 

> ls -d lastingimpressions.com 

[dnsserver ,LastingImpressions.com] 

lastingimpressions.com. SoA dnsserver .lastingimpressions.com Bobl 
,Com, (3 3600 600 861469 36060) 

lastingimpressions,com, NS dnsserver ,lastingimpressions .com 
dnsseruer 四 192.59.66 .200 

Webserver 四 192.59.66 .225 





图 10.8 NSLookup 的 响应 





NSLookup 有 15 项 设置 ， 用 户 可 以 通过 修改 它们 来 影响 NSLookup 的 
操作 。 En 出 了 一 下 常用 的 设置 。 
; 和 help: 命令 用 于 查看 所 有 的 NSLookup 命 令 。 
> server: 这 个 命令 用 于 指定 查询 哪 台 DNS 服务 器 。 
> ls: 用 于 列 出 域 中 的 名 称 ， 如 图 10.8 的 中 间 部 分 所 示 。 
> ls -a: 这 个 命令 用 于 列 出 域 中 的 规范 名 称 和 别名 ， 如 图 10.8 所 


> ls -d: 这 个 命令 用 于 列 出 所 有 的 资源 记录 ， 如 图 18.8 的 底部 所 


dl 


> set all: 这 个 命令 用 于 显示 所 有 设置 的 当前 值 。 
NSLookup 除 了 能 够 访问 本 机 使 用 的 DNS 服务 器 外 ， 还 可 以 使 用 它 
得 看 任何 DNS 服务 器 上 的 信息 。 如 果 拥 有 一 个 ISP， 吏 会 有 至 少 两 个 服 
务 器 的 IP 地 址 。NSLookup 既 可 以 使 用 IP 地 址 也 可 以 使 用 域名 。 用 户 可 以 
通过 输入 带 有 IP 地 址 或 FQDN 的 server 命 令 切 换 到 另 一 台 DNS 服 务 器 上 。 
例如 ， 要 想 使 NSLookup 连 接 E 根 服务 器 ， 可 以 输入 server 
192.203.230.10。 然 后 ， 你 可 以 输入 任何 已 有 的 域名 ， 例 如 





samspublishing.com， 查 看 这 个 域名 注册 的 IP 地 址 。 
大 多 数 商业 DNS 服务 器 和 根 服务 器 都 会 拒绝 ls 命令 ， 这 是 因为 这 些 
命令 将 产生 很 多 的 流量 ， 并 且 可 能 造成 安全 上 的 漏洞 。 


10.5.4 域名 信息 CDIG ) 


Linux〔 在 服务 器 机 房 中 很 常见 ) 上 一 个 流行 的 DNS 命令 工具 是 域 
名 信息 搜索 (Domain Information Groper，DIG) 。 许 多 管理 J 
0 在 DIG 最 基本 的 形式 中 ， 如 果 输 入 主机 
名 ， 则 返回 IP 地 址 : 

dig host.domain.com 

在 主机 名 的 前 面 添加 @server 可 以 指定 要 查询 的 DNS 服务 器 : 

dig C 14.13.18.20 host.domain.com 

该 命令 将 查询 地 址 为 14.13.18.20 的 DNS 服 务 器 。 

为 了 人 查询 特 定 的 资源 记录 类 型 ， 可 以 添加 资源 类 型 的 名 称 : 

en host.domain.com NS 

该 命 今 将 显 不 写 域 名 相关 联 的 NS 记录 。 要 碍 找 邮件 服务 器 ， 可 以 
尝试 如 下 命令 : 

dig host.domain.com MX 

当 指 定 IP 地 址 时 ， 选 项 -x 将 执行 逆 同 查找 ， 选 项 -4 将 查询 限定 为 对 
IPV4 的 伍 询 ， 而 -6 则 是 对 IPv6 进 行伍 询 。 


10.6 动态 DNS 


今 为 止 所 介绍 的 DNS 都 是 用 于 主机 名 与 IP 地 址 永久 (或 半 永 久 ) 
是 在 如 今 的 网 络 中 ， 耳 地址 通常 是 动态 分 配 的 。 换 句 话 
说 ， 每 次 计算 机 启动 时 ， 都 会 通过 动态 主机 分 配 协议 CDHCP ) 为 其 分 
配 一 个 新 的 IP 地 址 。 这 惑 意 味 着 ， 如 果 这 人 台 计 算 机 被 注册 到 DNS 上 ， 
并 且 经 常 需要 使 用 主机 名 连接 ，DNS 服 务 器 就 必须 通过 某 种 方法 获悉 该 
计算 机 正在 使 用 的 IP 地 址 。 

由 于 动态 IP 地 址 的 逐渐 流行 ，DNS 厂 商 必须 加 以 适应 。 现 在 ， 一 些 
PP 实现 〈 包 括 BIND) 提供 了 动态 更 新 DNS 记录 的 功能 。 在 图 10.9 所 示 的 
典型 场景 中 ， 主 机 从 DHCP 服 务 器 获得 IP 地 址 ， 然 后 使 用 这 个 新 地 址 更 
新 DNS 服 务 器 。 第 12 章 将 详细 讲解 DHCP。 








DHCP 服 务 器 DNS 服务 器 





图 10.9 动态 DNS 更 新 





企业 目录 系统 (比如 Microsoft 的 活动 目录 ) 在 目录 结构 中 使 用 动态 
DNS 来 管理 DHCP 客 户 端 系统 。 动 态 DNS 服 务 在 Internet 上 也 很 常见 。 有 
些 在 线 服务 提供 了 一 种 方法 ， 可 以 让 使 用 动态 地 址 的 计算 机 注册 一 个 水 
久 的 DNS 名 称 。 用 户 可 以 访问 这 些 服 务 ， 来 远程 连接 到 使 用 DNS 名 称 的 
家 庭 网 络 中 ， 或 者 是 运行 没有 静态 地 址 的 个 人 站 点 。 

注意 : DNS 服务 发 现 

DNS 最 近 的 另外 一 个 创新 是 DNS 服务 发 现 。 有 关 DNS 服 务 发 现 的 详 
情 和 其 他 零 配置 技术 的 介绍 ， 请 见 第 12 章 。 


10.7 NetBIOS 名 称 解 析 


NetBIOS 是 一 个 API 和 名 称 解 析 系 统 ， 最 初 是 由 IBM 开 发 的 ， 如 今 
在 Microsoft 的 Windows 网 络 中 很 常见 。NetBIOS 名 称 就 是 你 分 配给 
Windows 计 算 机 的 名 称 。 在 资源 管理 器 和 我 的 电脑 中 ， 可 以 使 用 
NetBIOS 计 算 机 名 来 识别 计算 机 。NetBIOS 被 开发 出 来 的 目的 是 将 其 用 
于 不 使 用 TCP/IP 的 网 络 。NetBIOS 名 称 系统 在 TCP/IP 网 络 上 显得 有 点 多 
余 ， 因 为 NetBIOS 名 称 扮演 的 角色 与 主机 名 很 相似 。Microsoft 在 
Windows 2000/XP 上 不 再 将 NetBIOS 作 为 重点 ， Windows Vista 和 
Windows 7 更 是 如 此 。Microsoft 官 方 推荐 的 最 佳 做 法 是 使 用 DNS 而 不 是 
NetBIOS 名 称 解 析 。 然 而 ， 最 近 的 Windows 版 本 还 是 提供 了 对 NetBIOS 
名 称 解析 技术 的 完全 支持 。 由 于 存在 大 量 支 持 NetBIOS 的 计算 机 ， 
此 ， 如 果 不 介 绍 NetBIOS， 任 何 对 名 称 解析 的 讨论 都 是 不 完全 的 。 此 











外 ， 并 不 只 有 Windows 支 持 NetBIOS， 流 行 的 开源 Samba 文 件 服务 和 其 
他 独立 的 工具 也 都 文 持 NetBIOS 名 称 解 析 。 

从 用 户 的 角度 看 ， 在 最 近 的 Windows 版 本 中 ，NetBIOS 和 DNS 名 称 
解析 之 间 的 差别 十 分 模糊 。Windows 同 时 提供 对 这 两 种 系统 的 支持 。 根 
据 用 户 的 配置 ，Windows 计 算 机 名 既 可 以 作为 DNS 类 型 的 主机 名 ， 又 可 
以 作为 NetBIOS 名 称 。 

因为 NetBIOS 通 过 广播 进行 操作 ， 所 以 小 型 网 络 上 的 用 户 将 不 必 配 
置 NetBIOS 名 称 解析 (除了 需要 设置 网 络 和 分 配 计算 机 名 〉 。 在 大 型 网 
络 上 ，NetBIOS 则 比较 复杂 。 大 型 网 络 使 用 被 称 为 WINS 服 务 器 的 
NetBIOS 名 称 服务 器 将 NetBIOS 名 称 解析 成 I1P 地 址 。 用 户 还 可 以 配置 静 
态 的 LMHost 文 件 〈 与 DNS 下 的 主机 文件 类 似 ) 完成 名 称 解 析 查 找 。 下 
面 将 会 进一步 介绍 NetBIOS 名 称 解析 。 

10.7.1 NetBIOS 名 称 解 析 的 方法 

在 TCP/IP 网 络 上 ，NetBIOS 名 称 解 析 最 终 的 目的 是 为 一 个 给 定 的 
NetBIOS 名 称 提供 IP 地 址 。 

NetBIOS 名 称 是 由 15 个 字符 组 成 的 ， 例 如 Workstation1、HRServer 和 
CorpServer。NetBIOS 不 允许 在 网 络 上 有 重复 的 计算 机 名 。 

注意 : NetBIOS 名 称 

从 技术 角度 讲 ，NetBIOS 名 称 有 16 个 字符 。 但 是 ， 第 16 个 字符 是 由 
底层 应 用 程序 使 用 的 ， 通 常 不 用 用 户 直接 配置 。 随 后 的 内 容 将 讨论 这 些 
字符 。 

NetBIOS 名 称 与 主机 名 类 似 ， 都 是 在 一 个 局 平 的 空间 内 (没有 层次 
或 者 无 法 对 名 称 进行 限定 ) 。 在 下 面 一 部 分 中 ， 将 会 介绍 几 种 将 
NetBIOS 名 称 解 析 为 相应 IP 地 址 的 方法 : 

> 基于 广播 的 名 称 解析 ; 

> LMHosts 文 件 名 称 解析 ; 

> WINS 名 称 解 析 。 

1. 于 广播 的 名 称 解 析 

NetBIOS 名 称 解 析 可 以 通过 广播 完成 。 计 算 机 会 使 用 广播 与 本 网 段 
中 其 他 所 有 机 器 联系 ， 要 求 返 回 特 定 计 算 机 的 地 址 。 网 段 上 的 计算 机 监 
听 到 广播 后 ， 只 有 指定 的 计算 机 才 会 响应 这 个 请 求 。 

这 种 名 称 解 析 的 方法 被 称 为 B-Node 名 称 解析 。 虽 然 ， 它 可 以 在 
LAN 环 境 中 很 好 地 工作 ， 但 如 果 网 络 不 仅仅 局 限 在 LAN， 这 种 方法 就 无 
法 工作 〈 由 于 路 由 器 会 阻止 广播 传递 ) 。 

广播 名 称 解 析 过 程 很 简单 ， 且 不 需要 安装 或 使 用 额外 的 配置 。 安 装 
上 网 卡 后 ，Windows 系 统 上 的 TCP/IP 网 络 软 件 就 可 以 使 系统 使 用 广播 通 

















过 NetBIOS 名 称 解 析 来 定位 其 他 的 计算 机 。 

2. LMHosts 文 件 名 称 解析 

Windows 系 统 还 可 以 使 用 LMHosts 文 件 将 NetBIOS 名 称 解 析 成 IP 地 
址 。LMHosts 文 件 与 主机 文件 很 相似 ， 会 将 NetBIOS 名 称 与 IP 地 址 关 
联 。IP 地 址 列 在 文件 的 最 左边 一 列 ， 相 应 的 计算 机 名 列 在 其 右 侧 ， 三 者 
中 间 用 至 少 一 个 空格 隔 开 ， 注 释 则 放置 在 # 符 号 之 后 。LMHosts 要 求 IP 
地 址 到 NetBIOS 名 称 之 间 的 映射 是 静态 的 。 每 台 计 算 机 上 都 分 别 保存 
一 个 单独 的 LMHosts 文 件 。 如 果 一 台新 计算 机 加 入 了 网 络 ， 其 他 计算 机 
就 无 法 通过 LMHosts 发 现 它 ， 除非 手动 为 每 个 LMHosts 文 件 添加 相关 的 
条 目 。 

在 只 有 一 个 网 段 的 网 络 上 ， 因 为 可 以 使 用 广播 完成 NetBIOS 名 称 解 
析 ， 所 有 通常 不 使 用 LMHosts 文 件 。 在 由 多 个 网 段 组 成 的 大 型 网 络 上 ， 
广播 无 法 超越 路 由 器 完成 名 称 解 析 。 所 以 ， 计 算 机 必须 使 用 LMHosts 或 
WINS 服 务 器 〈 在 下 一 小 节 介 绍 ) 进行 NetBIOS 名 称 解析 。 在 一 些 情况 
下 ，LMHosts 可 以 用 于 指出 其 他 网 段 上 的 域 控 制 器 (在 基于 域 的 
Windows 环 境 中 ， 域 控制 器 需要 身份 认证 ) 。 

注意 : LAN Man 

LMHosts 中 的 LM 继 承 自 Microsoft LAN Manager (一 种 比 Windows 
NT 还 要 早 的 网 络 产品 ) 。 

下 面 是 一 个 基本 的 LMHosts 文 件 的 示例 : 








192.59.66.205 marketserv #file server for marketing 

department 

192.59.66.206 marketapp #application server for 
marketing 

192.59.66.207 bobscompnuter #bob's workstation 


新 近 解 析 的 NetBIOS 名 称 都 会 被 保存 在 NetBIOS 名 称 缓存 中 。 当 用 
户 需要 定位 某 台 特定 的 计算 机 时 ， 系 统 总 是 先 查 询 NetBIOS 名 称 缓存 ， 
再 从 LMHosts 文 件 中 搜索 。 如 果 绥 存 中 没有 匹配 的 条 目 ， 系 统 会 扫描 
LMHosts 文 件 中 的 条 目 ， 查 找 是 否 有 被 请 求 的 名 称 。 如 果 LMHosts 文 件 
中 保存 的 内 容 很 多 ， 那 么 整个 过 程 将 会 比较 费时 。 因 此 ， 为 了 加 快 整个 
过 程 ， 可 以 为 使 用 频率 较 高 的 条 目 添 加 地 RE 关键 词 〈 见 图 10.10) ， 以 
便 将 这 些 条 目 预先 调 入 NetBIOS 名 称 缓存 。 当 网 络 启动 时 ， 会 对 
LMHosts 文 件 进 行 一 次 完整 的 扫描 ， 因 此 ， 为 了 提高 效率 ， 包 含有 #PRE 
关键 词 的 条 目 都 会 位 于 LMHosts 文 件 的 底部 。 这 些 条 目 只 需要 被 读 取 一 
次 ， 将 这 些 条 目 放 在 文件 的 后 面 会 减少 它们 被 重复 读 取 的 机 会 。 

注意 : 查看 缓存 

可 以 使 用 NBTStat 工 具 查 看 和 操作 NetBIOS 名 称 缓存 。 要 想 查 看 绥 


























存 的 内 容 ， 可 以 在 命令 提示 符 后 输入 nbtstat-c。 

维护 诸如 主机 文件 和 LMHosts 文 件 这 样 的 静态 文件 是 很 困难 的 ， 这 
是 因为 这 些 文 件 分 布 在 不 同 的 计算 机 上 ， 而 没有 保存 在 某 个 中 心 位 置 。 
用 户 通 过 在 关键 词 盯 NCLUDE 后 输入 其 他 计算 机 上 的 LMHosts 文件 路 
径 ， 可 以 处 理 上 面 的 问题 。 利 用 这 个 关键 词 ， 本 地 LMHosts 文件 能 够 
包括 基于 服务 器 的 LMHosts 文 件 ， 使 得 本 地 计算 机 同样 可 以 使 用 这 些 文 
件 。 所 以 ， 通 过 对 基于 服务 器 的 LMHosts 文 件 的 编辑 ， 就 能 够 使 网 络 上 
的 变化 被 用 户 计算 机 了 解 。 

如 果 有 多 个 贞 NCLUDE 和 条目， 它们 就 需要 放置 在 关键 词 #BEGIN 
ALTERNATE 和 #END ALTERNATE 之 间 ， 如 图 10.10 所 示 。 








自 Imhosts ~ Notepad 
Fle Edt Search Help 
SFprintSeruer #Occasional use entries 
NYPrintServer 
LAPrintServer 
Mercury HPRE Hthe remaining entries 
Uenus HPRE #are Preloaded 
Earth #PRE 
Mar's #PRE 


Jupiter #PRE 

Saturn HPRE 

Pluto HPRE 

0OCServer HPRE HDOM: CorpDomain 
InstructorX #PRE #My computer 





HBEGIN ALTERNATE 

HINCLUDE \\Mainseruver\public\lmhosts Huse a centralized LMHosts file 
HINCLUDE \\Backupserver\public\lmhosts Halternate centralized LMHosts file 
HEND ALTERNATE| 








图 10.1 0OLMHosts 文件 的 内 容 


前 面 提 到 ，LMHosts 常 常会 被 用 来 定位 不 同 网 段 上 的 Windows 域 控 
制 费 。#DOM 关 键 词 可 以 识别 表示 域 控 制 器 的 LMHosts 条 目 。 

在 Window 7 系统 中 ， 在 Windows/System32/drivers/ect 目录 中 可 以 
找到 一 个 名 为 Imhost.sam 的 LMHosts 文 件 示例 。 为 了 实现 了 一 个 LMHosts 
文件 ， 可 以 修改 这 个 文件 示例 ， 然 后 将 在 同一 个 目录 下 将 其 存储 为 不 带 
扩展 名 .sam 的 Imhosts。 

3. WINS 名 称 解 析 

与 DNS 是 为 了 解决 主机 文件 的 缺点 而 建立 的 相同 ， 建 立 
WINS (Windows Internet Name Service) 的 目的 同样 是 为 了 解决 








LMHosts 的 问题 。 当 客户 端 需 要 获取 一 人 台 计 算 机 的 卫 地 址 时 ， 会 回 
WINS 发 送 查 询 以 获取 信息 。WINS 在 过 去 是 Microsoft 网 络 的 一 个 重要 特 
性 ， 但 是 随 着 DNS 和 活动 目录 的 出 现 ， 人 们 对 单独 的 WINS 服务 器 的 
需求 也 随 之 降低 。 在 某 些 网 络 中 ， 如 果 NetBIOS 名 称 解 析 被 路 由 器 阻 
止 ， 则 可 以 使 用 WINS 服 务 器 。 

WINS 中 维护 了 一 个 注册 了 不 同 对 象 ( 包 括 用 户 、 计 算 机 、 计 算 机 
上 运行 的 服务 、 工 作 组 ) NetBIOS 名 称 的 数据 库 。 在 大 多 数 的 DNS 实现 
中 ， 数 据 库 中 的 条 目 都 是 手动 输入 的 ， 但 是 WINS 中 的 数据 库 与 之 不 
同 ， 它 是 当 客 户 端 计算 机 启动 时 ， 有 客户 端 将 本 机 的 名 称 和 IP 地 址 动态 
地 注册 到 WINS 服 务 器 上 。 

WINS 服 务 器 接收 并 响应 NetBIOS 名 称 解 析 的 请 求 〈 见 图 10.11) 。 
图 10.11 中 的 WINS 服 务 器 与 图 10.2 中 的 DNS 服务 器 很 相似 。 只 不 过 WINS 
服务 器 用 于 NetBIOS 名 称 解析 ， 而 DNS 服务 器 用 于 域名 解析 。 不 过 ， 由 
于 NetBIOS 的 名 称 空 间 是 扁平 的 ， 因 此 无 法 提供 DNS 使 用 的 层次 化 的 名 
称 解析 技术 。 

注意 : WINS 到 底 是 什么 ? 

WINS 是 分 配给 Microsoft 的 实现 的 一 个 名 称 ， 该 实现 通常 被 称 为 
NetBIOS 名 称 服务 器 或 NBNS 。 
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WINS 服务 器 
Bill 的 地 址 是 多 少 ? = 












去 往 : 192.192.6.41 计算 机 名 称 : Bill 


IP: 192.192.6.41 


图 10.11 WINS NetBIOS 名 称 解 析 


Windows 提 供 了 多 种 配置 客户 端 使 用 WINS 的 方法 。 如 果 计 算 机 通 
过 DHCP 接 收 到 一 个 动态 的 TCP/IP 配 置 ，WINS 配 置 可 以 通过 DHCP 自 动 
提交 给 客户 端 。 用 户 也 可 以 通过 TCP/IP 配 置 对 话 框 ， 手 动 输入 WINS 服 
务 器 的 地 址 并 管理 与 NetBIOS 名 称 解 析 相 关 的 其 他 设置 。 





根据 Windows 的 版 本 的 不 同 ， 配 置 WINS 的 步骤 也 有 所 差别 。 在 
Windows 7 中 ， 用 户 可 以 通过 高 级 TCP/IP 设 置 对 话 框 中 的 WINS 选 项 卡 来 
WN 〈 见 图 10.12) 。 下 面 束 是 访问 高 级 TCPAP 设 置 对 话 框 的 
步骤 。 

1. 在 开始 菜单 上 选择 网 络 。 

2. 进入 网 络 共享 中 心 。 

3. 选择 管理 网 络 连 接 。 

4. 碳 键 单 击 需要 配置 的 网 络 连 接 ， 然 后 选择 属性 《需要 完成 管理 
员 账 户 的 验证 ) 。 

5. 选择 Internet Protocol Version 4 (TCP/IPv4) ， 单 击 属 性 。 

6. 在 TCP/IPv4 属 性 对 话 框 中 ， 单 击 “ 高 级 ”按钮 。 

7. 选择 WINS 选 项 卡 。 

正如 图 10.12 所 示 ， 用 户 可 以 在 WINS 选 项 卡 中 手动 添加 WINS 服 务 
器 的 地 址 ， 也 可 以 启用 LMHosts 查 找 并 导入 一 个 已 有 的 LMHosts 文 件 。 
注意 ， 在 默认 情况 下 ， 系 统 会 接收 来 和 目 DHCP 服 务 左 的 NetBIOS 设 置 ， 
但 是 通过 选择 启用 或 禁用 NetBIOS over TCP/IP 可 以 覆盖 DHCP 的 设置 。 








Advanced TCP/IP Settings 区 
P Settngs | DNS | WIN5 


WNS sddresses, nN order of use': 


if UMMHOSTS jookup i ensbled, It apples to soll connectons for wh 路 
TCPAP $s enasbled 
7 enable LMHOSTS okup Import LMHOSTS,,, 
MNeBIOS settng 
Defmudt 
Use NetBiOS settng from the DHCP server, If state 有 P address 
s used of the DHCP server does not pyrovide NetHIOS to 
ensbie NetBlOS over TCP/IP 
Enable NetBIOS over TCP/IP 


Digable NetS1OS over TCP/IP 








图 10.12 在 Windows 7 中 配置 WINS 


当 WINS 客 户 端 计算 机 “〈 即 被 配置 为 使 用 WINS 的 计算 机 ) 启动 时 ， 
会 执行 如 下 的 过 程 。 

1. 服务 启动 : 当 计 算 机 启动 时 ， 会 启动 很 多 服务 ， 其 中 一 些 服务 
需要 让 其 他 计算 机 知道 。 

2. 注册 请 求 : 要 想 让 网 络 中 的 其 他 计算 机 能 够 知道 服务 已 启动 ， 
必须 注册 服务 。WINS 客 户 端 计算 机 会 将 NetBIOS 名 称 和 计算 机 的 IP 地 
址 打包 到 名 称 注册 请 求 中 ， 进 而 将 这 个 请 求 发送 到 WINS 服 务 器 。 在 收 
J WINS 将 检查 自己 的 数据 库 ， 查 看 名 称 是 否 已 经 被 注册 
们 。 

如 果 名 称 不 存在 ，WINS 将 这 个 NetBIOS 名 称 和 IP 地 址 对 加 入 数据 
库 ， 并 发 送 名 称 注册 响应 数据 ， 表 明 注 册 已 成 功 。 如 果 WINS 数 据 库 中 
己 经 存在 被 请 求 的 NetBIOS 名 称 ，WINS 会 发 送 一 个 信息 给 已 注册 的 IP 地 
址 。 如 果 当 前 已 注册 的 计算 机 发 回 了 响应 ， 就 癌 正 在 注册 的 计算 机 发 送 
一 个 拒绝 通知 。 如 果 已 注册 的 计算 机 没有 响应 ，WINS 允许 新 的 注册 并 
履 盖 调 以 前 的 注册 。 

3. 租 期 : 假设 计算 机 使 用 WINS 成 功 注 册 了 NetBIOS 名 称 和 服务 ， 
这 些 名 称 会 有 一 个 租 期 。 本 质 上 讲 ， 计 算 机 对 一 个 NetBIOS 名 称 的 使 用 
是 会 限制 在 一 定时 间 内 的 ， 例 如 6 天 。 但 是 ， 客 户 端 可 以 在 时 限 到 达 前 
更 新 这 个 租 期 。 客 户 端 通常 会 在 租 期 到 达 50% 更 新 这 个 租 期 ， 即 如 果 租 
期 是 6 天 ， 那 么 每 3 天 就 进行 一 次 更 新 。 

前 面 已 经 介绍 过 ，NetBIOS 名 称 的 第 16 个 字符 并 不 是 用 户 配置 的 。 
在 WINS 注 册 过 程 中 ， 在 向 WINS 数 据 库 中 添加 记录 前 ，WINS 服 务 会 根 
据 计 算 机 注册 的 服务 类 型 把 第 16 个 字符 加 到 名 称 上 。 由 于 存在 不 同 的 计 
算 机 名 称 、 工 作 组 名 称 和 大 量 的 服务 ， 所 以 在 WINS 数 据 库 中 存在 着 5~ 
10 条 关于 同一 台 计 算 机 的 条 目 是 很 常见 的 事情 。 

WINS 名 称 解 析 过 程 的 另外 一 个 例子 是 ， 假 设 用 户 在 使 用 诸如 网 络 
邻居 这 样 的 工具 连接 网 络 上 的 其 他 计算 机 。 包 含 所 需要 的 NetBIOS 名 称 
的 名 称 查 询 请 求 通常 是 由 应 用 程序 发 起 ， 并 传递 给 WINS 服 务 器 的 。 当 
WINS 接 收 到 这 个 请 求 ， 将 查询 自己 的 数据 库 ， 查 找 匹 配 的 注册 条 目 。 
如 果 发 现 了 被 请 求 的 名 称 ，WINS 会 在 响应 数据 包 中 加 入 相应 的 人 P 地 
址 。 客 户 端 计算 机 接 到 了 被 请 求 计 算 机 的 IP 地 址 后 ， 可 以 直接 与 此 计算 
机 进行 通信 。 

10.7.2 测试 NetBIOS 名 称 解 析 

用 户 可 以 使 用 基于 NetBIOS 的 工具 测试 NetBIOS 名 称 解 析 。 在 
Windows 系 统 中 ， 一 种 典型 的 名 称 测 试 方 法 是 使 用 net view 人 命令， 该 命 
令 可 以 查看 服务 器 上 的 共享 点 〈share) 名 称 〈 记 住 ， 一 个 共享 点 就 是 一 


























个 可 用 于 网 络 访问 的 目录 ) 。 要 执行 这 个 测试 ， 可 以 选择 一 台 拥 有 一 个 
或 多 个 共享 点 的 计算 机 ， 在 命令 提示 符 下 输入 : 

net view \computername 

如 果 net view 可 以 将 计算 机 名 解析 成 IP 地 址 ， 用 户 就 可 以 看 到 这 个 
命令 的 啊 应 所 列 出 的 共享 点 名 称 。 

用 户 也 可 以 使 用 ping 工具 测试 NetBIOS 名 称 解析 。 在 大 多 数 
Windows 系统 上 ， 如 果 NetBIOS 名 称 解析 工作 正常 ， 就 可 以 在 ping 工 具 
中 通过 NetBIOS 计 算 机 名 连接 这 台 计 算 机 。 例 如 ， 如 果 一 台 计 算 机 名 为 
Shirley， 在 输入 下 面 的 命令 后 应 该 会 收 到 一 个 啊 应 : 

ping Shirley 


10.8 小 结 


名 称 解析 使 得 用 户 能 够 用 有 意义 的 、 容 易 记 住 的 计算 机 名 来 替代 分 
配给 计算 机 的 IP 地 址 。 本 章 介 绍 了 通过 主机 名 和 DNS 的 名 称 解析 ， 还 
学 习 了 DNS 配置 文件 和 名 称 解 析 过 程 ， 以 及 最 近 的 一 些 技 术 创 新 ， 比 如 
动态 DNS 和 DNSSEC。 本 章 还 详细 讲解 了 NetBIOS 名 称 解 析 ， 后 者 仍然 
会 在 Windows 和 其 他 基于 SMB 的 网 络 中 用 到 。 


10.9 问 与 答 


问 : 什么 是 域名 ? 

答 : 域名 是 用 来 识别 网 络 的 名 称 。 域 名 由 一 个 权威 的 机 构 管理 ， 以 
确保 名 称 的 唯一 性 。 

问 : 什么 是 主机 名 ? 
ee 主机 名 就 是 分 配给 特定 主机 并 被 映射 给 某 个 了 P 地 址 的 一 个 唯一 
\ 小 。 

问 : 什么 是 FQDN? 
: 主机 名 和 域名 的 组 合 ( 通 过 符号 “.”) 。 例 如 ， 主 机 名 是 
bigserver ， 域 名 是 mycompany.com， 那 么 FQDN 就 是 
bigserver.mycompany.com 。 

问 : 什么 是 DNS 资源 记录 ? 

答 : 资源 记录 就 是 包含 在 DNS 区 域 文件 中 的 条 目 。 不 同 的 资源 记 
录 可 以 识别 不 同类 型 的 计算 机 或 服务 。 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 由 在 测试 读者 对 本 章 
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知识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问 题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 

10.10.1 问题 

1. 哪 一 种 资源 记录 用 作 别 名 ? 

2. 为 什么 DS 资源 记录 和 DNSKEY 资 源 记 录 存 储 在 不 同 的 服务 器 
上 上? 


3. 如 何在 LMHosts 文 件 中 集中 管理 条 目 ? 
4. 如 何在 NetBIOS 名 称 缓存 中 创建 静态 的 NetBIOS 条 目 ? 


10.10.2 练习 

1. 在 计算 机 的 命令 行 中 ， 输 入 命令 ping localhost， 然 后 写 下 你 看 
到 的 IP 地 址 。 

2. 在 计算 机 的 命令 行 中 ， 输 入 命令 hostname， 然 后 写 下 返回 的 主 


3. 在 计算 机 的 命令 行 中 ， 输 入 命令 ping+ 你 的 计算 机 的 主机 名 。 

4. 如 果 你 的 计算 机 有 域名 ， 请 ping 你 的 FQDN。 

5. 确定 IP 是 否 被 配置 为 使 用 DNS 服 务 器 ， 如 果 是 ， 请 尝试 如 下 的 
ping 操 作 : 

ping www.internic.net 

ping www.whitehouse.gov 


6. 使 用 NSLookup 来 连接 ISP 的 一 台 DNS 服 务 器 。 
10.11 关键 术语 


复习 下 列 关 键 术 语 : 

> DNSSEC (DNS 安全 扩展 ) : 对 DNS 查 询 响 应 的 真实 性 进行 验 
证 的 系统 。 

> 域 ， DNS 名 称 空 间 的 层次 划分 。 

> 域名 : 分 配给 DNS 名 称 空 间 特 定 层 次 中 某 个 部 分 的 名 称 。 

> DNS (域名 系统 ) : 在 TCP/IP 网 络 中 对 资源 进行 命名 的 系统 。 

> 动态 DNS: 将 静态 DNS 名 称 与 动态 IP 地 址 相关 联 的 技术 。 

> FQDN (完全 限定 域名 ) : 主机 名 和 域名 拼接 后 形成 的 名 称 。 

> 主机 名 : 用 于 标识 计算 机 (主机 〉 的 名 称 。 

> 主机 文件 ， 将 IP 地 址 与 主机 名 相关 联 的 文件 。 

> LMHosts: 将 IP 地 址 与 NetBIOS 名 称 相 关联 的 文件 。 
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> NetBIOS: 最 初 由 IBM 开 发 的 一 个 API 和 名 称 解 析 系 统 ， 主 要 在 
Microsoft 网 络 中 使 用 。 在 最 近 几 年 ，NetBIOS 名 称 系统 的 作用 日 渐 式 
微 ， 但 是 在 许多 Windows 网 络 和 某 些 非 Windows 的 SMB/CIFS 网 络 中 仍然 
有 用 武之 地 。 

> 资源 记录 : 添加 到 区 域 文 件 中 的 条 目 。 资 源 记 录 的 类 型 有 多 
种 ， 每 种 类 型 有 不 同 的 用 处 。 

> WINS (Windows Internet 命 名 服务 ) : WINS 服 务 是 Microsoft 
NetBIOS 名 称 服务 器 的 实现 。 

> 区 域 文件 : DNS 服 务 嚣 使 用 的 配置 文件 ， 这 个 文本 文件 被 用 于 
配置 DNS 服务 器 。 


第 11 章 TCP/IP 安 


本 章 介 绍 如 下 内 容 : 

> 防火 墙 和 代理 服务 ; 

> 网 络 入 侵 技术 ; 

> 网 络 安全 最 佳 做 法 ; 

> 加 密 ; 

> 数字 签名 ; 

> VPN; 

> Kerberos。 

如 今 的 用 户 都 意识 到 Internet 上 潜伏 着 危险 ， 有 不 法 之 徒 在 伺机 箔 
取信 息 或 访问 你 的 系统 ， 他 们 或 是 为 了 金钱 ， 或 是 仪 仪 为 了 享受 因此 带 
来 的 成 束 感 。 无 论 哪 种 情况 ， 你 都 需要 谨慎 行事 ， 并 采取 预防 措施 ， 以 
保护 你 的 网 络 。 

本 章 将 讲解 用 来 保护 TCP/IP 网 络 的 一 些 工 具 和 技术 ， 并 介绍 入 侵 者 
为 突破 Intermnet 防 御 而 采用 的 一 些 技术 。 第 一 市 将 讲解 对 所 有 安全 系统 都 
至 关 重 要 的 组 件 一 一 网 络 防 火 墙 。 


11.1 什么 是 防火 墙 


这 些 年 来 ， 防 火 墙 这 个 术语 被 赋予 了 很 多 意思 ， 现 在 我 们 所 知道 的 
防火 墙 设备 是 经 过 长 期 发 展 的 结果 要 知道 ， 在 网 络 空间 中 ，28 年 是 一 
个 相当 长 的 时 间 ) 。 

防火 墙 就 是 一 个 放置 在 网 络 路 径 上 的 设备 ， 这 样 ， 它 可 以 检查 、 接 
受 或 拒绝 打算 进入 网 络 的 数据 包 。 这 上 听 起 来 有 点 像 路 由 器 。 实 际 上 ， 虽 











然 防 火 墙 并 不 一 定 是 一 个 路 由 占 ， 但 是 防火 墙 的 功能 通常 会 被 集成 到 路 
由 右上 。 防 火 墙 与 传统 的 路 由 器 最 重要 的 区 别 是 传统 路 由 器 会 尽 可 能 转 
发 数据 包 ， 而 防火 墙 则 只 转发 目 己 认可 的 数据 包 。 对 数据 包 的 转发 决定 
不 再 是 仅 基于 地 址 ， 而 是 基于 网 络 所 有 者 配置 的 一 组 规则 ， 这 些 规则 可 
以 确定 哪些 流量 类 型 能 被 网 络 所 允许 。 

甚至 当 你 但 看 最 简单 的 防火 增 环 境 ( 见 图 11.1) 时 ， 也 能 够 轻易 地 
发 现 防 火 墙 的 价值 。 可 以 看 到 ， 防 火 增 可 以 阻止 任何 或 者 所 有 的 外 界 尝 
量 进 入 网 络 ， 但 是 它 并 干涉 内 部 网 络 中 的 通信 ，。 


























图 11.1 防火 墙 可 以 阻止 任何 或 所 有 的 流量 进入 本 地 网 络 


最 早 的 防火 墙 是 数据 包 过 滤器 。 它 通过 检查 数据 包 来 找 出 该 数据 包 
的 企图 。 在 第 6 章 讲 到 ， 许 多 包 过 滤 防 火 墙 会 查看 封装 在 传输 层 报头 中 
的 TCP 和 UDP 端口 号 。 因 为 大 多 数 的 Internet 服 务 都 与 端口 号 相关 联 ， 
因此 通过 检查 数据 包 的 目的 端口 号 可 以 确定 数据 包 的 企图 。 这 种 形式 的 
数据 包 过 小 可 以 让 管理 员 声 称 “ 外 部 的 客户 并 无 法 访问 内 部 网 络 上 的 
Telnet 服务 ”， 至 少 不 能 访问 使 用 熟知 端口 号 的 Telnet 服 务 。 

这 种 控制 方法 比 以 前 的 有 很 大 的 进步 ， 运 今 为 止 已 经 挡住 了 很 多 类 
型 的 攻击 ; 然而 ， 包 过 滤 技 术 仍然 不 是 一 个 完美 的 解决 方案 。 首 先 ， 打 
入 内 部 网 络 的 入 侵 者 可 以 偷偷 地 将 网 络 服务 所 使 用 的 端口 号 进行 重新 配 
置 。 例 如 ， 如 果 将 防火 墙 配 置 为 检查 TCP 端 口 23 上 的 Telnet 会 话 ， 而 入 
侵 者 秘密 建立 了 一 个 使 用 不 同 端口 号 的 Telnet 服 务 ， 那 么 ， 仅 仅 碍 看 熟 
知 的 端口 则 不 会 发 现 问题 。 

在 防火 墙 的 进化 过 程 中 ， 出 现 了 另外 一 种 称 之 为 有 状态 防火 墙 的 设 








备 。 有 状态 防火 墙 不 仅仅 是 单独 检查 每 一 个 数据 包 ， 还 会 检查 数据 包 包 
含 在 哪个 通信 会 话 序列 中 。 这 种 状态 敏感 性 有 助 于 有 状态 防火 墙 监视 诸 
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Xo 

应 用 层 防火 墙 是 最 新 一 代 防 火 墙 。 这 种 防火 墙 是 在 TCP/IP 应 用 层 
工作 的 ， 在 这 里 可 以 更 全 面 地 理解 与 协议 和 服务 相关 联 的 数据 包 。 

当代 的 防火 增 通 常 是 包 过 技术 、 状 态 查 看 和 应 用 层 过 小 技术 的 组 
合 。 一 些 防火 墙 还 可 以 作为 DHCP 服 务 器 和 网 络 地 址 转换 工具 。 防 火 寺 
可 以 是 硬件 也 可 以 是 软件 ， 既 可 以 简单 义 可 以 复杂 ， 但 是 ， 无 论 你 是 管 
理 着 上 干 个 节操 组 成 的 网 络 ， 还 是 只 使 用 一 台 单 独 的 计算 机 ， 只 要 计划 
连接 Intemet， 最 好 都 需要 对 防火 增 有 基本 的 理解 。 


11.1.1 选择 防火 墙 


尽管 防火 墙 是 提供 给 代 专业 人 士 的 工具 ， 但 是 随 着 网 络 入 侵 爱 好 
的 兴起 和 上 自动 端口 扫描 右 〈( 可 以 随机 地 搜索 Internet 网 络 上 开放 的 端 
口 ) 的 出 现 ， 为 单 用 户 系统 开发 个 人 防火 墙 显 得 越 来 越 重 要 。 现 在 ， 
Windows、Mac 和 Linux 这 些 系统 都 提供 了 个 人 桌面 防火 墙 ， 用 于 阻止 
对 系统 上 特定 端口 和 服务 的 访问 。 当 然 ， 终 端 用 户 的 客户 端 系 统 通 浓 都 
不 会 运行 很 多 网 络 服 务 ， 使 用 防火 墙 显 得 有 些 多 余 (为 什么 需要 为 没有 
运行 的 服务 关闭 端口 呢 ? ) 。 但 是 ， 事 实 上 ， 当 今 的 计算 机 系统 是 如 此 
的 复杂 ， 以 至 于 系统 用 户 有 时 并 不 能 确定 当前 系统 正在 运行 哪些 服务 。 
甚至 普通 的 文件 和 打印 共享 从 理论 上 来 讲 ， 都 为 攻击 开局 了 方便 之 门 。 
而 且 ， 针 对 计算 机 发 起 的 攻击 有 时 是 很 狼 独 的 ， 因 此 很 难 确定 系统 是 否 
真 的 安全 。 使 用 个 人 防火 墙 是 一 个 很 好 的 想法 ， 尤 其 是 对 那些 没有 位 于 
防火 墙 系统 之 后 的 计算 机 更 是 如 此 。 

更 复杂 的 防火 墙 设备 是 防火 墙 /路 由 塔 设备， 它们 可 以 用 户 小 型 办 
公 室 /家 庭 办 公 室 (SOHO ) 网络 。 这 些 工 具 通 常会 提供 DHCP 服务 和 网 
络 地 址 转换 。 它 们 在 运行 时 更 像 图 11.1 中 描述 的 那 种 经 典 的 防火 墙 场 
0 
J 访问 。 

使 用 SOHO 防 火 墙 (和 个 人 防火 墙 ， 存在 的 一 个 问题 是 ， 这 些 防火 
普 是 为 非 专 业 人 士 设 计 的 ， 因 此 几乎 没有 配置 选项 ， 用 户 通常 也 无 法 弄 
清 它 们 使 用 了 什么 技术 来 过 小 协议 流量 。 安 全 专家 并 不 认为 这 些 设 备 是 
彻底 安全 的 ， 但 是 ， 有 总 比 没有 强 。 

男 外 一 种 选择 是 使 用 一 台 计 算 机 作为 网 络 防火 墙 ( 像 防火 墙 /路 由 
器 设备 那样 ) 。UNIX/Linux 系统 带 有 高 级 的 防火 墙 功能 。Windows 系 
统 的 某 些 特定 版 本 也 提供 了 防火 墙 。 注 意 ， 作 为 网 络 防 火 墙 的 计算 机 与 





























前 面 讲解 的 个 人 防火 墙 是 不 相同 的 。 此 时 ， 计 算 机 不 再 只 过 滤 到 达 本 机 
的 流量 ， 而 是 充当 整个 网 络 的 防火 墙 。 要 想 完 成 这 项 工作 ， 系 统 必须 安 
闭 两 个 或 多 个 网 卡 ， 并 且 配 置 进 行 转发 的 端口 ， 系 统 实际 上 承担 了 路 由 
器 的 功能 。 如 果 有 一 全 空闲 的 计算 机 ， 这 种 方法 可 以 提供 比 使 用 典型 的 
SOHO 防 火 墙 更 高 级 的 解决 方案 。 当 然 ， 用 户 也 需要 对 目 己 的 操作 有 所 


了 解 。 

如 果 具 有 专业 的 管理 防火 墙 的 能 力 ， 可 以 使 用 一 些 丙 业 防 火 墙 设 
备 。 专 业 级 别 的 防火 墙 /路 由 器 比 SOHO 类 型 的 更 先进 。 尽 管 外 观 不 同 ， 
但 这 些 设备 实际 上 更 像 基 于 计算 机 的 防火 墙 。 大 多 数 工 业 防 火 墙 设备 都 
舱 入 了 计算 机 系统 。 在 本 章 的 后 续 部 分 将 会 介绍 ， 丙 业 防 火 墙 和 防火 墙 
计算 机 使 用 户 能 够 通过 配置 自 定义 的 过 小 规则 来 允许 或 拒绝 网 络 流量 。 
这 些 工 具 是 十 分 强大 和 复杂 的 ， 这 一 点 不 是 通过 复 选 框 进行 设置 的 
SOHO 或 者 个 人 防火 墙 所 能 比拟 的 。 所 以 使 用 这 些 工 具 需 要 更 丰富 的 知 
识 ， 同 时 ， 也 需要 花费 更 多 的 精力 才能 保证 配置 的 正确 性 。 

11.1.2 DMLZ 

防火 墙 为 内 部 网 络 提供 了 一 个 受 保护 的 空间 ， 使 网 络 很 难 从 外 部 进 
行 访问 。 这 个 概念 对 于 Web 客 户 端 工作 组 (其 中 包含 少量 满足 内 部 需要 
的 文件 服务 器 〉 是 很 适合 的 。 不 过 ， 在 很 多 情况 下 ， 一 个 公司 通常 不 会 
禁止 外 部 网 络 访问 自己 的 所 有 资源 。 例 如 ， 需 要 从 外 部 访问 的 公共 Web 
服务 器 。 许 多 公司 还 安装 了 FTP 服 务 器 、E-mail 服 务 器 和 其 他 需要 从 
Internet 访 问 的 系统 。 尽 管 从 理论 上 讲 ， 只 要 开放 防火 墙 的 端口 就 可 以 允 
许 外 部 客户 访问 特定 系统 上 的 特定 服务 ， 但 是 ， 这 也 就 是 说 ， 服 务 器 可 
以 从 外 部 进行 操作 ， 其 结果 是 导致 一 系列 网 络 管理 员 不 希望 看 到 的 流量 
和 安全 性 问题 。 

一 种 比较 简单 的 解决 方案 是 ， 将 需要 被 Internet 访问 的 服务 放 在 防 
火 墙 之 外 〔( 见 图 12.2〉 ， 这 种 方案 要 求 服务 器 (例如 Web 服务 器 必须 
首先 经 过 严格 的 检查 ， 确 保 它们 是 真正 安全 的 ， 然 后 再 放置 在 开放 的 
Internet 环 境 中 《防火 墙 之 前 ) ， 使 之 与 内 部 网 上 的 客户 端 隔离 ， 并 能 够 
接收 Internet 请 求 。 理 论 上 ， 只 要 适当 地 配置 了 服务 器 ， 就 能 够 保护 服 
务 器 免 受 来 自 于 Internet 的 攻击 。 此 时 ， 只 能 打开 基本 的 端口 ， 并 运行 基 
本 的 服务 。 理 想 状 态 下 ， 安 全 系统 在 配置 之 后 ， 即 使 有 攻击 者 可 以 访问 
到 系统 ， 他 们 的 权限 也 会 受到 限制 。 当 然 ， 这 样 的 预防 措施 并 不 能 保证 
系统 不 会 受到 攻击 ， 但 是 这 样 做 是 基于 如 下 的 理论 : 如 果 系 统 被 攻破 
i 
网 络 。 
































图 11.2 Web 服务 器 和 其 他 面向 Internet 的 计算 机 通常 放置 在 防火 墙 的 外 
面 


这 种 将 本 地 资源 放 在 防火 墙 之 后 ， 将 通过 Internet 访 问 的 资源 放置 在 
防火 墙 之 前 的 技术 在 很 多 小 型 网 络 中 很 常用 。 然 而 ， 拥 有 专业 级 别 的 IT 
管理 和 安全 性 的 大 型 网 络 则 会 使 用 更 具 优 点 的 方法 。 另 外 蔡 代 方 案 〈 相 
对 于 图 11.2 所 示 方 案 ) 是 使 用 两 个 防火 墙 一 一 一 个 防火 墙 位 于 Internet 服 
务 器 之 前 ， 另 一 个 位 于 它们 之 后 。 前 端 防火 墙 可 以 提供 第 一 个 安全 层 ， 
很 明显 ， 这 层 防 火 允 许 对 服务 器 的 连接 ， 后 端 防 火 墙 则 提供 了 更 严密 的 
保护 ， 确 保本 地 网 络 资源 的 安全 。 两 个 防火 墙 之 间 的 空间 被 称 为 
DMZ (一 个 军事 术语 -一 Demilitarized Zone， 非 军事 地 带 ) 。 与 开放 的 
Internet 相 比 ，DMZ 可 以 提供 更 好 的 安全 性 ， 但 是 其 安全 性 比 内 部 网 络 











低 。 

图 11.3 所 示 的 场景 还 可 能 出 现下 面 的 情况 : 只 使 用 一 个 能 够 连接 多 
个 网 段 的 防火 场 。 如 图 11.4 所 示 ， 如 果 防 火 墙 /路 由 器 有 3 个 或 更 多 个 接 
口 ， 可 以 将 内 部 网 络 和 DMZ 分 别 连接 到 这 些 接口 上 ， 同 时 为 每 个 接口 
应 用 不 同 的 过 渡 规 则 。 








DMZ 





图 11.4 对 于 一 个 至 少 有 3 个 借口 的 防火 场 ， 如 果 为 每 一 个 网 段 配置 不 同 
的 防火 墙 规 则 ， 也 就 相当 于 提供 了 DMZ 


11.1.3 防火 墙 规 见 


防火 墙 /路 由 器 


个 人 防火 墙 和 其 他 小 型 的 基于 GUI 的 防火 墙 工 具 允 许 用 户 通过 点 
选 选 项 框 〈 见 图 11.5) 来 定义 防火 场 的 过 滤 特 性 。 高 级 的 、 工 业 级 别 的 
防火 墙 工 具 可 以 让 用 户 创 建 一 个 配置 文件 ， 其 中 防火 墙 的 配置 及 用 一 系 
列 领 命 或 定义 了 防火 增 行 为 的 规则 来 描述 。 这 些 命令 或 规则 称 为 防火 墙 
规则 。 虽 然 不 同 的 工具 使 用 不 同 的 命令 和 语法 ， 但 是 通常 允许 网 络 管理 
员 创 建 的 内 容 包 括 : 
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图 11.5 大 多 数 SOHO 防火 载 人 允许 用 户 通 过 名 称 或 端口 号 来 阻 断 服务 


> 资源 地 址 或 地 址 范围 ; 

目的 地 址 范围 ; 

> 服务 ; 

> 行为 。 

这 些 参数 据 供 了 大 量 选项 。 用 户 可 以 关闭 所 有 来 自 或 去 往 特 定 地 址 
范围 的 流量 。 可 以 关闭 来 目 于 特定 地 址 的 特定 服务 ， 例 如 Telnet 或 
FTP。 还 可 以 关闭 来 自 于 所 有 地 址 的 茶 项 服务 。 处 理 规 则 可 以 是 “ 接 
受 ” “拒绝 ”或 任何 其 他 选项 。 有 了 时， 防火 墙 规则 甚至 可 以 应 用 特定 的 
扩展 或 脚本 ， 规则 也 可 以 是 在 出 现 故 障 时 ， 同 防火 墙 管理 员 发 出 警告 页 











面 或 电子 邮件 。 

与 仅仅 通过 端口 号 关闭 或 打开 服务 相 比 ， 这 些 参数 的 组 合 能 够 提供 
更 大 的 灵活 性 。 

11.1.4 代理 服务 


所 有 用 来 保护 和 人 简化 内 部 网 络 ， 将 潜在 的 不 安全 Internet 活 动 限制 在 
边界 之 外 的 技术 中 ， 防 火 墙 是 核心 技术 。 男 一 种 相关 的 技术 是 代理 服 
务 。 代 理 服务 器 可 以 截获 对 Internet 资源 的 请 求 ， 并 蔡 代 客户 端 转 发 这 
些 请 求 ， 它 在 客户 端 和 请 求 的 目的 服务 器 之 间 扮 演 了 一 个 中 介 的 角色 
〈 见 图 11.6) 。 尽 管 代 理 服务 器 不 足以 通过 上 自己 包含 网 络 ， 但 是 它 通 般 
被 用 于 与 防火 载 联合 使 用 《尤其 是 在 网 络 地 址 转换 环境 中 ) 。 











图 11.6 理 服务 器 代表 客户 端 请 求 服 务 
通过 代表 客户 端 发 送 和 接收 Internet 请 求 ， 代 理 服 务 器 可 以 使 客户 





端 免 于 直接 与 恶意 网 站 联系 。 一 些 代理 还 可 以 执行 内 容 过 滤 ， 碍 看 信息 
和 是否 来 目 于 黑 名 单 上 的 服务 器 ， 或 者 内 容 是 否 珊 有 潜在 的 危险 。 代 理 服 
务 器 还 常 被 用 来 限制 内 部 网 络 客户 端的 浏览 范围 。 例 如 ， 校 园 网 可 能 会 
使 用 代理 服务 器 阻止 学 生 访 问 不 良 网 站 。 

在 很 多 情况 下 ， 使 用 代理 服务 器 的 主要 目的 是 性 能 ， 而 非 安全 性 。 
代理 服务 器 可 以 执行 对 服务 的 内 容 缓存 。 内 容 缓存 代理 服务 器 会 保存 极 
访问 过 的 网 页 的 拷贝 。 对 这 些 网 页 的 再 次 请 求 将 直接 用 本 地 拷贝 啊 应 ， 
这 比 从 Internet 上 啊 应 要 快 得 多 。 这 样 做 看 上 去 有 很 多 问题 ， 仅 仅 在 用 户 
两 次 访问 相同 网 站 时 才 会 有 所 帮助 ， 但 是 如 果 考 虑 到 特定 用 尸 的 浏览 习 
惯 ， 即 习惯 于 在 对 一 个 网 站 多 次 浏览 ， 每 一 个 页 面 都 访问 不 止 一 次 ， 或 
者 只 离开 页 面 很 短 时 间 就 再 次 返回 来 说 ， 这 就 很 有 帮助 了 。 在 释放 绥 存 
人 

11.1.5 已 | 


传统 意义 上 的 代理 服务 器 在 一 节 中 描述 ) 代理 的 是 向 外 发 送 到 














Internet 上 的 请 求 。 另 一 种 形式 的 代理 服务 咒 被 称 为 逆 癌 代理 ， 它 接收 
来 自 外 部 资源 的 请 求 ， 将 这 些 请 求 转发 给 内 部 网 络 。 与 常规 的 代理 服务 
器 相同 ， 逆 回 代 理 也 提供 缓存 和 内 容 过 滤 特 性 。 因 为 逆 癌 代理 主要 用 于 
保证 计算 机 能 够 在 mternet 上 提供 服务 ， 因 此 安全 性 特别 重要 。 

逆 回 代 理 系 统 隐藏 了 啊 应 客户 端 请 求 的 计算 机 的 细节 。 逆 同人 代理 可 
以 通过 缓存 大 量 文件 或 频繁 被 访问 的 文件 来 提升 性 能 。 逆 回 代 理 有 时 还 
被 用 于 提供 负载 平衡 。 例 如 ， 逆 辐 代 理 可 以 接收 针对 一 个 Web 地 址 的 请 
求 ， 将 这 些 负 载 分 配给 多 个 服务 器 。 


11.2 攻击 技术 


Internet 的 发 展 已 经 为 入 侵 者 资 取 秘密 、 算 改 网 站 、 魏 取信 用 卡 信 
恩 或 者 通常 的 恶作剧 创造 了 无 限 的 机 会 。Intermnet 入 侵 者 还 创造 了 一 个 
全 新 的 神话 ， 他 们 因 其 技能 和 勇气 而 驰名 天 下 ， 其 中 部 分 归功 于 这 些 融 
宽 盗 贼 尝 高 的 艺术 和 政治 动机 。 但 是 ， 安 装 和 维护 计算 机 网 络 的 专业 人 
士 是 不 会 被 网 络 入 侵 者 的 行为 深 深 打动 的 。 

安装 了 防火 墙 并 不 意味 着 你 的 网 络 束 是 安全 的 。 下面 的 内 容 将 介绍 
攻击 者 用 来 获取 计算 机 系统 控制 权 的 一 些 技术 。 在 学 习 这 些 技术 时 ， 你 
将 注意 到 ， 许 多 概念 都 是 围绕 前 面 章节 中 所 讲解 的 TCP/P 基 本 特性 而 构 
建 的 。Intermnet 文 学 充满 着 对 这 些 入 侵 者 的 里 份 及 其 思考 方式 的 含糊 的 心 
理 放 析 。 许 多 这 样 的 信息 均 基 于 轶 事 和 推测 。 不 过 ， 大 家 一 般 都 认同 ， 
计算 机 攻击 者 往往 属于 以 下 几 大 类 。 

> 青少年 业余 爱好 者 : 这 些 只 是 胡闹 的 孩子 。 这 些 所 谓 的 脚本 小 
子 (script kiddies) 通常 只 有 计算 机 系统 的 基本 知识 ， 而 且 主 要 只 是 应 
用 从 Internet 上 搞 到 的 入 侵 脚 本 和 技术 。 

> 消遣 性 入 侵 者 : 这 个 “成 年 人 ”攻击 者 的 分 类 具有 广泛 的 攻击 动 
机 。 其 中 的 绝 大 多 数 只 是 纯粹 为 了 进行 智力 挑战 。 他 们 中 的 有 些 人 希望 
对 某 个 特定 行业 或 者 组 织 做 出 声明 ， 还 一 些 人 员 则 是 对 公司 不 满 的 前 任 
雇员 。 还 有 一 群 行事 随意 的 准 专业 级 别 的 游手好闲 之 徒 也 属于 该 分 类 ， 
他 们 入 侵 系 统 后 贸 取 银行 密码 、 信 用 卡号 ， 或 是 将 入 侵 方 法 出 售 给 较为 
高 端的 专业 人 士 ， 并 按照 入 侵 次 数 来 获取 党 金 。 

> 专业 人 士 : 这 个 危险 的 团体 由 经 验 丰 富 的 专家 组 成 ， 他 们 对 计 
算 机 非常 了 解 。 这 些 人 很 难 跟 踪 ， 因 为 他 们 知道 几乎 所 有 的 技巧 。 事 实 
上 ， 就 是 他 们 发 明了 其 中 的 一 些 技巧 。 这 些 入 侵 者 从 事 这 一 行 ， 完 全 是 
为 了 财务 奖赏 ， 但 是 如 果 他 们 不 热爱 目 己 所 做 的 事 ， 也 束 不 能 成 功 入 
侵 。 这 些 专 业 人 士 中 的 许多 人 ， 专 心 于 信用 卡 诈骗 和 身份 盗用 这 样 的 活 
动 。 近 期 ， 攻 击 家 庭 计算 机 ， 以 征用 系统 ， 用 于 发 送 垃圾 邮件 的 趋势 一 


























直 呈 上 升 态势 。 

入 侵 者 用 来 获得 计算 机 系统 访问 权 的 所 有 各 种 骗局 和 诡计， 不 可 能 
在 这 里 一 一 赛 括 。 在 学 习 下 面 所 描述 的 这 些 技术 时 ， 请 牢记 计算 机 安全 
的 最 重要 规则 : 如 果 你 认为 已 经 妥善 保 护 了 目 己 的 网 络 ， 请 再 想 一 想 ， 
外 面 正 有 人 花费 大 量 时 间 和 精力 试图 找 出 一 种 新 的 方式 闷 进 来 呢 。 


11.3 侵 者 想 要 什 乡 

















正如 上 一 节 所 提 及 的 那样 ， 网 络 攻 击 者 出 于 许多 动机 来 达成 其 将 
计 。 他 们 的 目的 可 能 不 同 ， 但 是 他 们 都 有 获得 某 一 计算 机 系统 或 网 络 的 
权力 与 控制 的 目的 。 因 此 ， 他 们 发 动 攻 击 的 许多 中 间 步 又 也 完全 相同 。 

计算 机 攻击 和 渗透 过 程 一 般 围绕 下 列 步 又 进行 。 

1. 取得 系统 访问 权 。 

2. 取得 权限 。 

3. 四 处 朵 和 逛 。 

4. 准备 好 下 一 轮 攻 击 。 

还 需要 注意 的 是 ， 对 于 协同 的 和 有 组 织 的 计算 机 网 络 攻击 来 说 ， 在 
进行 这 些 步 骤 之 前 ， 通 常 还 会 有 一 个 单独 的 侦察 阶段 。 

攻击 者 有 若干 种 方法 来 获得 入 口 和 取得 足够 的 权限 ， 尺 管 不 可 能 描 
述 全 它们 ， 但 是 可 以 把 这 些 技术 分 为 3 个 基本 的 类 别 。 

> 证 书 攻击 : 这 些 攻击 集中 在 获得 证 书 以 正常 进入 系统 。 在 本 质 
上 ， 这 种 攻击 甚至 发 生 在 入 侵 者 渗入 安全 系统 之 前 。 这 一 技术 的 一 种 变 
型 是 权限 提升 ， 即 攻击 者 先 获得 低级 别 的 访问 权 ， 然 后 再 设法 获得 更 高 
的 权限 级 别 。 

> 网 络 层 攻击 : 攻击 者 通过 找到 一 个 开放 的 端口 、 无 保护 的 服务 
或 者 是 防火 墙 中 的 缺口 偷偷 进入 。 其 他 网 络 层 攻击 技术 利用 TCP/IP 协 议 
系统 的 细微 差别 ， 以 获得 信息 或 重新 路 由 连接 。 

> 应 用 层 攻 击 : 攻击 者 利用 系统 上 运行 的 某 个 应 用 程序 (例如 
Web 服 务 器 ) 的 代码 中 的 已 知 缺 陷 ， 其 骗 该 应 用 程序 执行 任意 命令 ， 或 
者 是 以 一 种 程序 设计 人 员 从 未 想到 的 方式 运行 。 

一 次 全 面 的 网 络 入 侵 ， 通 常 组 合 使 用 这 些 攻击 技术 。 典 型 情况 下 ， 
攻击 者 可 能 会 使 用 应 用 层 攻击 作为 最 初 的 突破 ， 然 后 把 权限 逐步 提升 至 
ee 

“后 门 ? 是 入 侵 者 以 未 被 发 现 的 方式 登录 到 系统 中 的 一 种 技术 。 入 侵 
者 可 以 使 用 多 种 不 同类 型 的 后 门 。 在 本 章 后 面 将 会 讲 到 ， 入 侵 者 通常 会 
尝试 安装 一 个 rootkit 来 在 系统 上 找到 一 个 立足 点 ， 然 后 再 掩盖 入 侵 。 但 









































是 入 侵 者 并 不 仅仅 满足 于 访问 系统 。 另 外 一 种 强大 的 攻击 技术 尽管 不 可 
以 用 来 访问 网 络 ， 但 是 具有 很 强 的 破坏 性 ， 这 就 是 拒绝 服务 攻击 ， 攻 击 
者 可 以 利用 该 技术 来 迫使 系统 朋 江 或 过 载 ， 从 而 导致 系统 无 法 正常 工 
作 。 本 章 后 面 会 详细 讲解 拒绝 服务 攻击 。 

对 于 某 个 公司 网 络 的 全 面 攻 击 ， 一 般 会 从 一 次 广泛 的 扫 摘 开始 ， 以 
确定 尽 可 能 多 有 关 该 公司 的 信息 。 这 个 过 程 有 时 被 称 为 footprinting。 这 
些 信息 中 的 一 部 分 可 以 在 Web 上 搜集 到 : 公司 位 置 、E-mail 地 址 和 附属 
机 构 ， 以 及 指 回 其 他 网 站 的 链接 。 入 侵 者 会 试图 获得 该 公司 使 用 的 所 有 
域名 。 这 些 域名 接着 将 被 用 来 同 DNS 服务 器 询问 公司 卫 地 址 。 

网 络 安全 扫描 仪 〈 比 如 Nmap) 可 以 扫 拉 网络 的 周边 ， 以 查找 开放 
的 端口 或 其 他 潜在 的 攻击 矢量 《〈 在 安全 业界 一 个 很 大 的 讽刺 是 ，IT 专 业 
人 员 和 网 络 入 侵 者 使 用 的 工具 相同 。 管 理 员 通常 使 用 Nmap 来 扫描 他 们 
自己 的 网 络 ， 其 目的 是 先 于 入 侵 者 找到 网 络 漏洞 ) 。 

在 现代 网 络 中 ， 第 一 步 通常 是 查找 在 开放 端口 上 运行 的 服务 ， 比 如 
Web 服 务 器 ， 然 后 利用 应 用 层 攻 击 来 探寻 服务 中 的 漏洞 。 然 而 ， 一 个 好 
的 攻击 者 会 根据 情况 采用 不 同 的 攻击 方式 。 下 面 的 小 节 将 讲解 攻击 者 经 
各 使 用 的 一 些 攻击 工具 。 

11.3.1 证 书 了 

获得 计算 机 系统 访问 权限 的 典型 方式 是 找 出 密码 ， 然 后 登录 。 取 得 
某 个 系统 交互 式 入 口 的 入 侵 者 ， 可 以 利用 其 他 技术 构建 系统 权限 。 因 
此 ， 找 到 一 个 密码 (任何 密码 ) 通常 是 交 入 某 个 网 络 的 第 一 步 。 获 得 密 
人 码 的 方法 ， 从 高 科技 的 (密码 破解 词典 脚本 和 人 解密 程序 ) ， 一 直到 极端 
低 技术 的 《在 垃圾 桶 里 四 处 发 掘 和 偷 看 用 户 办 公 冥 抽 敢 ) ， 什 么 都 有 。 
一 些 和 常见 的 密码 攻击 方法 包括 : 

> 看 看 机 箱 外 面 ; 

> 特洛伊 木马 ; 

> 猜测 ; 

> 贸 听 。 

下 面 几 个 小 节 将 讨论 这 些 暗 中 获取 用 户 密码 的 方法 。 

1. 看 看 机 箱 外 面 

不 管 您 的 系统 有 多 么 安全 ， 您 的 网 络 也 不 会 安全 ， 除 非 用 户 都 会 保 
护 他 们 的 密码 。 密 码 汇 圳 的 一 个 主要 源头 ， 就 是 用 户 的 不 注意 。 最 早 的 
入 侵 者 ， 通 常 通过 寻找 丢弃 的 计算 机 打印 输出 中 的 线索 来 获得 密码 。 令 
人 欣慰 的 是 ， 从 那 时 以 来 ， 操 作 系 统 厂 商 在 保护 密码 信息 方面 ， 已 经 变 
得 更 加 老练 。 然 而 ， 密 码 汇 圳 事件 的 相当 一 部 分 仍然 是 由 离线 检测 引起 
的 。 很 多 用 户 把 他 们 的 密码 告诉 其 他 用 户 ， 或 者 是 在 某 些 别人 容易 接近 









































的 地 方 写 下 他 们 的 密码 。 工 作 场 所 的 物理 安全 ， 篆 稼 远 不 如 网 络 安全 那 
么 严格 。 大 楼 管理 员 、 不 满 的 同事 ， 或 者 甚至 是 未 经 许可 的 外 人 ， 经 浓 
可 以 自由 地 汐 进 无 人 监管 的 办 公 室 ， 寻 找 密码 线索 。 当 一 名 工作 人 员 群 
职 或 者 是 被 解雇 时 ， 该 工作 人 员 的 账户 将 被 释放 ， 但 是 如 果 有 用 户 和 那 
名 前 任 员 工分 享 过 自己 的 密码 ， 那 么 他 们 的 那些 用 户 账户 会 怎么 样 呢 ? 

一 些 经 验 丰富 的 入 侵 者 擅 于 让 用 户 展现 其 密码 ， 或 者 是 让 网 络 管理 
员 告 诉 他 们 密码 。 他 们 会 呼叫 技术 文 援 中 心 (help desk) ， 闭 作 有 点 不 
知 所 措 ， 并 且说 :“ 鸣 鸣 ， 我 筷 了 我 的 密码 。” 这 听 上 去 有 点 是 大 ， 但 是 
却 能 节省 入 侵 者 大 量 的 精力 ， 因 此 他 通常 首先 会 尝试 这 样 做 。 每 一 个 公 
司 都 应 该 明确 指示 计算 机 专业 人 员 ， 不 要 在 没有 采取 措施 确保 相应 的 请 
求 为 合法 的 情况 下 ， 把 密码 信息 展现 给 任何 用 户 。 

本 章 后 面 将 会 讲 到 ， 入 侵 者 的 最 终 目 的 是 取得 管理 员 级 别 的 权限 。 
每 一 个 密码 都 应 该 得 到 保护 ， 因 为 任何 访问 权 通 党 都 可 以 通 回 管理 员 访 
问 权 ， 但 是 尤其 重要 的 是 要 保护 管理 员 账 户 不 被 泄露 。 管 理 员 用 户 名 是 
防御 入 侵 的 另 一 个 前 治 阵 地 ， 也 应 访 得 到 保护 。 绝 大 多 数 计算 机 系统 都 
市 有 一 个 默认 管理 员 账 户 。 对 于 熟悉 相 应 操作 系统 的 入 侵 者 来 襄 ， 因 为 
他 知道 管理 员 账 户 的 用 户 名 ， 因 此 在 取得 管理 员 权 限 方面 束 有 了 一 个 可 
趁 之 机 。 所 以 ， 专 家 们 建议 更 改 管理 员 账 户 的 用 户 名 。 

2. 特洛伊 木马 

计算 机 入 侵 者 常用 的 一 个 工具 ， 束 是 所 谓 的 特洛伊 木马 。 特 阁 伊 木 
马 一 般 是 指 一 种 计算 机 程序 ， 它 号 称 做 某 一 件 事 ， 但 实际 上 在 后 台 进 行 
其 他 看 不 见 的 恶意 活动 。 特 洛 伊 木 马 的 一 种 早期 形式 是 伪造 的 登录 屏 
幕 。 该 屏幕 看 上 去 就 像 是 系统 使 用 的 登录 屏幕 ， 但 是 当 用 户 试 图 登录 
时 ， 用 户 名 和 密码 就 会 被 捕获 ， 并 被 存储 到 入 侵 者 可 以 访问 的 某 个 秘密 
位 置 ( 见 图 11.7) 。 

你 可 能 也 猜 到 了 ， 这 种 偷 取 密码 的 技术 针对 公共 设置 而 设计 ， 例 如 
在 一 间 计 算 机 实验 室 里 ， 可 能 有 多 名 用 户 使 用 一 组 公用 的 终端 或 工作 
站 。 最 近 几 年 ， 操 作 系 统 已 经 更 加 精通 于 阻止 或 探测 这 种 形式 的 密码 捕 
3 矿 。 

注意 : 大 量 的 特洛伊 木马 

并 不 是 所 有 特洛伊 木马 都 捕捉 密码 ， 而 且 并 不 是 所 有 密码 特洛伊 都 
像 本 节 所 摘 述 的 那个 示例 那样 明目张胆 。 在 Internet 上 ， 可 以 找到 许多 其 
他 种 类 的 特洛伊 木马 程序 。 有 些 表 现 为 游戏 或 者 是 假 的 系统 工具 ， 许 多 
这 样 的 特洛伊 木马 程序 ， 都 以 免费 软件 或 共享 软件 的 形式 在 Internet 上 分 
发 。 防 御 此 类 攻击 的 最 佳 方式 ， 是 小 心 所 下 载 的 东西 。 在 下 载 和 安装 某 
个 免费 的 工具 之 前 ， 请 阅 该 工具 的 文档 ， 并 在 Intemet 上 搜索 各 种 安全 警 


Do 



























































图 11.7 使 用 特洛伊 木马 程序 偷 取 密 码 


3. 猜测 

有 些 密码 特别 简单 ， 或 者 是 构成 比较 拙劣 ， 很 容易 被 入 侵 者 猜 到 。 
您 会 很 惊讶 ， 竟 然 有 这 么 多 用 户 使 用 与 其 用 户 名 完全 相同 的 密码 。 有 些 
用 户 使 用 街道 名 、《 妇 女 ) 结婚 前 的 娘家 姓 ， 或 者 是 某 个 孩子 的 名 字 作 
为 密码 ， 而 有 些 则 使 用 很 容易 猜 到 的 字符 组 合 ， 例 如 123456、abcde 或 
者 是 


对 某 个 用 户 有 所 了 解 的 入 侵 者 ， 通 常 可 以 猜 出 该 用 户 可 能 选择 的 粳 
糕 密 码 。 事 实 上， 入 侵 者 甚至 再 也 不 必 猜 测 ， 因 为 现在 有 工具 可 以 目 动 
完成 推测 密码 的 过 程 。 这 种 攻击 工具 通过 一 列 易 被 识破 的 字符 组 合 进行 
推测 。 有 些 工具 甚至 使 用 词典 ， 来 推测 相应 语言 中 每 一 个 可 能 的 词 或 名 
称 。 0 

4， 窃 

包 嗅 探 吉 〈Packet Sniffer) 和 其 他 监视 网 络 流 量 的 工具 ， 可 以 轻松 
地 捕获 以 明文 (未 加 密 〉 形式 在 网 络 上 传输 的 密码 。 许 多 经 典 的 TCP/IP 
实用 程序 ， 例 如 Telnet 和 r* 工 具 ， 或 者 是 SNMP 将 在 第 15 章 介绍) ， 都 
被 设计 为 以 明文 形式 传输 密 色 这 些 实用 程序 的 一 些 较 新 版 本 提供 密 
码 加 密 或 通过 安全 通道 来 传输 密码 。 不 过 ， 在 他 们 的 基本 形式 中 ， 这 些 
应 用 程序 的 明文 密码 安全 措施 ， 使 得 它们 根本 不 适合 充满 敌意 的 开放 式 























环境 ， 例 如 Internet。 

注意 : 不 安全 的 网 络 

即使 是 在 封闭 的 环境 里 《例如 某 个 公司 网 络 ) ， 明 文 密码 也 并 不 真 
正安 全 。 一 些 专家 推测 ， 每 100 名 公司 员工 中 ， 会 有 一 人 积极 投身 于 设 
法 阻挠 网 络 安全 。 尽 管 1% 是 一 个 很 小 的 分 数 ， 但 是 如 果 考 虑 某 个 网 络 
有 1000 名 用 户 ， 那 么 19% 就 是 总 共 会 有 10 名 用 户 热衷 于 获得 其 他 人 的 明 
人 

有 几 种 方法 可 以 加 密 密 码 。 使 用 这 些 密码 加 密 方 法 要 比 使 用 明文 密 
码 好 得 多 ， 但 是 密码 加 密 仍 然 有 一 些 局 限 性 。 像 LC5 和 John the Ripper 
这 样 的 工具 ， 残 能 够 利用 词典 和 暴 力 破 解 技术 解 开 加 密 了 的 密码 。 

Internet 上 的 攻击 者 可 以 截取 包含 加 密 后 密码 的 数据 包 ， 然 后 利用 
这 些 密码 恢复 工具 ， 解 开 和 密码。 加 密 通 道 技 术 的 近期 发 展 ， 例 如 SSL 
和 IPSec， 显 车 提升 了 入 侵 者 希望 通过 鳃 昕 TCP/IP 而 获得 像 密码 这 样 的 
敏感 信息 的 难度 。 

已 经 取得 系统 初始 访问 权 的 攻击 者 ， 有 多 种 方式 可 以 截取 或 发 现 其 
他 系统 密码 〈 包 括 管理 员 密 码 ) 。 有 些 工 具 允 许 入 侵 者 捕获 并 记录 正在 
通过 键盘 输入 密码 的 用 户 击 键 情 况 。 攻 击 者 还 可 能 获得 对 某 个 带 有 密码 
言 恕 的 加 密 系 统 文件 的 访问 权 ， 然 后 利用 标准 的 密码 攻击 技术 离线 分 析 
该 文件 ， 以 解 开 密码 。 

5. 如 何 防范 证 书 攻击 

对 于 证 书 攻 击 的 最 佳 防 范 措施 就 是 永 不 松懈 。 各 种 网 络 已 经 采用 了 
人 下 面 提 供 几 个 比较 容易 理解 的 准 
则 。 

> 为 公司 中 的 用 户 提供 一 个 优秀 且 清 晰 的 密码 策略 。 警 告 他 们 将 
其 密码 告诉 其 他 用 户 、 写 在 办 公 轩 和 劳 的 记事 贴 上 ， 旋 至 存储 在 某 个 文件 
中 的 危险 性 。 

> 将 所 有 计算 机 系统 配置 为 支持 强制 性 密码 策略 。 为 密码 设置 最 
短 长 度 ( 通 常 是 6~8 个 字符 ) 。 不 允许 用 户 使 用 某 条 狗 的 名 字 或 某 个 孩 
子 的 姓名 作为 密码 。 事 实 上 ， 和 密码 不 应 该 包括 任何 标准 的 字 词 、 短 语 或 
名 称 。 所 有 密码 都 应 该 包含 字母 和 数字 的 组 合 ， 以 及 至 少 一 个 非 字母 数 
字 字 符 〈 不 作为 第 一 个 或 最 后 一 个 字符 ) 。 为 了 防止 密码 猜测 攻击 ， 请 
确保 计算 机 被 配置 为 在 登录 符 试 失败 预先 规定 的 次 数 后 ， 符 用 相应 的 账 
万 。 

> 确保 密码 不 以 明文 形式 在 公用 线路 上 传输 。 如 果 可 能 的 话 ， 最 
好 也 不 要 在 您 的 内 部 网 络 上 传输 明文 密码 ， 尤 其 是 在 大 型 网 络 上 。 

有 些 系统 有 办 法 控制 每 一 个 用 户 必 须 记 住 的 密码 数 。Microsoft 的 网 
络 提供 密码 缓冲 存储 器 ， 还 有 通过 域 安 全 系统 的 统一 标准 网 络 登 录 。 



































UNIX 系 统 提 供 像 Kerberos 认 证 这 样 的 系统 。 对 于 在 某 些 环境 中 控制 密码 
扩散 来 说 ， 这 些 方法 很 有 用 。 这 些 统一 标准 的 登录 方法 的 不 利 方面 是 ， 
得 下 一 小 寅 人 的 入 全 吉 ， 就 可 以 敞开 访问 相应 用 户 的 所 有 资源 。 





在 第 6 章 讲 到 对 于 网 络 应 用 程序 的 访问 ， 是 通过 在 TCP/IP 栈 传 
输 层 工作 的 被 称 为 端口 的 逻辑 信道 进行 管理 的 。 攻 击 者 经 常 通过 找到 某 
个 开放 的 端口 ， 致 使 某 一 网 络 服务 监听 网 络 连接 ， 从 而 取得 对 系统 的 访 
问 。 有 时 候 ， 访 服务 可 能 就 是 默认 运行 的 ， 连 系统 的 所 有 者 都 不 知道 
它 。 有 时 ， 该 服务 可 能 被 误 配 置 了 ， 或 者 是 它 可 能 允许 通过 某 个 默认 或 
匿名 的 用 户 账 户 进行 访问 。 

诸如 Nmap 和 Nessus 之 类 的 扫描 工具 ， 可 以 目 动 完成 查找 开放 端 
口 的 过 程 。 入 侵 者 (查找 缺口 ， 从 而 可 以 获得 访问 权 〉 和 IT 专业 人 员 
《查找 缺口 ， 从 而 可 以 墙 住 它 们 ， 防 止 访问 〉 均 使 用 这 些 扫描 程序 。 其 
他 更 加 专门 的 工具 ， 可 以 搜索 出 特定 网 络 协议 和 服务 中 的 缺口 。 在 很 多 
情况 下 ， 只 是 存在 某 个 开放 的 端口 ， 并 不 足以 使 入 侵 者 进入 ， 但 是 它 为 
攻击 者 提供 了 发 起 一 次 应 用 层 攻 击 的 机 会 ， 从 而 利用 监听 该 端口 的 服务 
的 某 个 已 知 漏洞 。 

扫描 程序 不 其 在 Internet 上 运行 ， 连续 地 在 整个 IP 地 址 范围 内 来 回 移 
动 ， 以 搜索 开放 的 端口 以 及 未 保护 的 服务 。 本 章 前 面 讲 到 ， 防 火 墙 的 一 
人 以 防止 网 络 扫 拉 程序 监 昕 有 关 网 络 上 所 运行 

有 分 HY1S ,vo 

在 开放 的 Internet 上 实施 的 其 他 网 络 层 攻击 策略 ， 会 截取 和 破坏 
TCP/P 流 量 。 例 如 ， 会 话 劫持 就 是 一 种 利用 TCP 协 议 中 某 个 漏洞 的 高 级 
技术 。 在 第 6 章 讲 到 ，TCP 协 议 在 网 络 主机 之 间 建 立会 话 。 会 话 劫持 要 
求 入 侵 者 鳃 听 某 个 TCP 会 话 ， 然 后 在 数据 流 中 插入 数据 包 ， 使 它 看 上 去 
像 是 该 TCP 会 话 的 一 部 分 。 入 侵 者 可 以 利用 这 一 技术 ， 在 原始 会 话 的 
I 会 话 支持 的 一 种 常见 用 法 就 是 使 系统 骏 圳 或 更 
改 密码 。 

当然 ， 攻 击 者 并 不 是 在 传输 过 程 中 人 工 编 发 欺骗 的 TCP 信息 段 。 
会 话 动 持 需要 专门 的 工具 。 一 种 用 于 会 话 支持 的 著名 工具 称 为 
Juggernaut， 它 是 一 款 免 费 程序 。Juggernaut 监 听 某 个 局 部 网 络 ， 维 持 一 
个 TCP 连 接 的 数据 库 。 入 侵 者 可 以 监视 TCP 流 量 ， 从 而 重 放 连 接 历 史 ， 
或 者 是 通过 插入 任意 命令 来 劫持 某 个 活动 会 话 。 针 对 会 话 劫持 和 其 他 基 
| 是 利用 VPN 或 者 是 某 一 其 他 形式 的 加 密 通信 
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11.3.3 应 用 技 了 








你 可 能 会 想 ， 如 果 软 件 配置 正确 ， 并 且 可 以 使 密码 不 被 敌人 之 手 触 
及 ， 那 么 束 不 会 有 任何 Intemet 入 侵 者 的 问题 了 。 不 扯 的 是 ， 实 际 情况 要 
更 加 复杂 。 当 前 在 Intemet 上 运行 的 许多 程序 都 是 数 年 前 编写 的 ， 当 时 入 
侵 艺 术 尚 未 逐渐 形成 ， 它 们 包含 着 一 些 本 质 上 不 安全 的 程序 代码 。 即 使 
是 现在 编写 的 程序 ， 也 经 常 编写 的 特别 匆忙 ， 男 外 ， 程 序 设计 人 员 的 训 
练 和 专业 知识 储备 也 千差万别 。 入 侵 者 开发 了 许多 技术 ， 用 于 利用 不 安 
全 的 程序 代码 ， 破 坏 系 统 安全 。 

应 用 层 攻 击 技 术 的 一 个 常见 示例 惑 是 缓冲 区 洲 出 。 当 一 台 计 算 机 通 
过 网 络 连 接 接收 数据 时 (或 者 就 此 而 言 ， 即 使 是 在 它 从 键盘 接收 数据 
时 ) ， 该 计算 机 必须 保留 足够 的 内 存 空间 来 接收 完整 的 数据 集 。 这 个 接 
收 空间 被 称 为 缓冲 区 。 如 果 用 户 的 输入 洲 出 该 缓冲 区 ， 奇 怪 的 事 束 会 发 
生 。 如 果 输 入 没有 被 适当 管理 ， 那 么 溢出 缓冲 区 的 数据 束 可 能 变 为 驻 留 
在 CPU 的 执行 区 域 中 ， 那 意味 着 经 由 缓冲 区 溢出 发 送 给 计算 机 的 命令 ， 
可 能 会 被 实际 执行 〈 见 图 11.8) 。 这 些 命 令 以 接收 数据 的 应 用 程序 的 权 
限 执 行 。 其 他 缓冲 区 溢出 攻击 利用 这 样 的 一 个 事实 : 一 些 应 用 程序 在 安 
I 该 上 下 文 在 应 用 程序 意外 终止 时 仍 可 能 是 
活动 的 。 
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图 11.8 缓冲 区 溢出 攻击 使 为 程序 输入 保留 的 内 存 空间 不 足 ， 致 使 相应 的 
程序 朋 尝 、 运 行 异 第 或 执行 任意 代码 


要 想 避 免 绥 冲 区 海 出 问题 ， 应 用 程序 必须 提供 一 种 方法 ， 在 将 数据 
写 入 应 用 程序 缓冲 区 之 前 ， 接 收 并 检 村 数据 的 大 小 。 较 好 的 解决 办 法 是 
0 
区 溢出 攻击 。 


一 些 流行 的 著名 网 络 应 用 程序 ， 都 有 缓冲 区 溢出 漏洞 。 有 关 这 些 漏 
洞 的 许多 利用 ， 在 Internet 上 众所周知 ， 因 此 入 侵 者 完全 知道 如 何以 及 
从 哪里 发 起 攻击 。 基 于 UNIX 的 E-mail 服务 器 Sendmail， 就 是 一 个 缓冲 
区 淤 出 攻击 的 常见 目标 。 近 年 来 ，Microsoft 的 Internet 信 息 服务 器 
(CGIS) 和 Microsoft 的 其 他 产品 ， 也 都 已 成 为 缓冲 区 洲 出 攻击 的 牺牲 
癌 。 软 件 三 商 发 现 某 个 可 能 的 缓冲 区 溢出 漏洞 时 ， 通 和 常会 发 布 一 个 补丁 
来 修复 该 问题 。 由 于 公众 对 绥 冲 区 洲 出 漏洞 的 注意 ， 会 引起 巨大 的 公众 
关系 问题 ， 软 件 三 了 商 们 已 经 变 得 非常 敬 惕 ， 一 发 现 漏洞 ， 束 快速 修补 其 
软件 。 因 此 ， 当 有 安全 问题 被 发 现时 ， 某 家 厂商 在 数 日 内 或 者 甚至 是 在 
数 小 时 内 发 布 补 丁 ， 一 点 也 不 足 为 怪 。 同 时 ， 优 秀 的 系统 管理 员 会 密切 
关注 像 Common Vulnerabilities and Exposures 
project (http:/Wcve.mitre.org ) 这 样 的 组 织 发 出 的 安全 警告 ， 从 而 可 以 知 
道 何 时 何 地 能 获得 其 系统 的 最 新 补丁 。 像 SANS (http:/www.sans.org ) 
这 样 的 组 织 ， 还 提供 包含 近期 安全 威胁 信息 的 E-mail 简 讯 。 

对 于 解决 类 似 缓 冲 区 液 出 这 样 的 问题 的 办 法 ， 一 方面 是 编写 民 好 的 
程序 ， 并 不 只 是 在 软件 厂商 提供 的 软件 中 要 这 样 ，Web 开 发 人 员 和 IT 人 
员 自 己 在 编写 脚本 时 也 应 如 此 。 男 一 方面 ， 通 过 安装 所 有 的 补丁 和 更 
新 ， 保 持 系 统 的 更 新 。 对 于 试图 利用 绥 冲 区 溢出 的 远程 用 户 ， 一 些 操作 
系统 允许 你 限制 其 可 以 使 用 的 权限 范围 。 如 果 可 能 的 话 ， 请 不 要 让 网 络 
应 用 程序 以 root 或 管理 员 权 限 运 行 〈 在 某 些 情况 下 ， 可 能 无 法 选择 ) 。 
对 于 要 求 较 高 权限 来 运行 的 应 用 程序 ， 像 UNIX/Linux 工 具 chroot 这 样 的 
应 用 程序 ， 可 以 创建 有 限制 的 安全 环境 ， 以 防止 入 侵 者 获得 对 系统 其 余 
部 分 的 访问 权 。 

11.3.4 root 访 问 


网 络 入 侵 者 的 “圣杯 ”， 永 远 是 系统 的 管理 员 或 root 访 问 权 限 。 拥 有 
root 访 问 权 的 用 户 ， 可 以 执行 任何 命令 或 得 看 任何 文件 。 从 本 质 上 讲 ， 
当 你 拥有 root 访 问 权 时 ， 就 可 以 随心 所 欲 地 对 待 相应 的 系统 了 。root 这 
个 术语 源 目 UNIX 和 领域， 但是， 有 一 个 强大 的 账户 拥有 可 以 控制 系统 的 
权限 ， 这 样 的 概念 适用 于 所 有 软件 厂商 和 平台 。 在 Windows 网 络 上 ， 这 
种 账户 被 称 为 “管理 员 ” 账 户 。 

通常 ， 在 入 侵 者 进入 系统 之 后 ， 首 要 的 任务 就 是 上 传 一 个 rootkit。 
rootkit 是 一 组 工具 ， 用 于 在 系统 上 建立 一 个 更 加 稳固 的 立足 点 。 一 些 这 
样 的 工具 被 用 来 危害 新 的 系统 和 新 的 账户 。 其 他 工具 则 用 来 隐藏 攻击 者 
在 系统 上 的 行踪 。 这 些 困 惑 工 具 可 能 包括 标准 网 络 工具 《例如 netstat ) 
的 黎 改 版 本 ， 或 者 是 从 系统 日 志文 件 消 除 入 侵 者 行踪 的 应 用 程序 。 
rootkit 中 的 其 他 工具 ， 可 能 会 帮助 入 侵 者 探测 相应 的 网 络 或 截取 更 多 密 






































人 码 。 有 些 rootkit 甚 至 能 允许 入 侵 者 修改 操作 系统 本 身 。 

现代 的 rootkit 工 具 提 供 了 额外 的 特性 。Key loggers 能 够 捕获 和 记录 
键盘 输入 ， 从 而 等 待 用 户 输入 密码 。 所 谓 的 内 核 rootkit 在 操作 系统 的 最 
高 安全 级 别 运 行 ， 因 此 使 用 传统 的 检测 技术 很 难 将 其 检测 出 来 。 

入 侵 者 接 下 来 会 着 手 建立 一 个 或 多 个 系统 后 门 ， 也 就 是 进入 系统 的 
密码 通道 ， 这 些 通道 很 难 背 网 络 管理 员 检 测 到 。 后 门 的 关键 是 是 使 入 侵 
者 能 够 避 开 围绕 日 常 交 互 式 访问 的 日 志 记 录 和 监控 进程 。 一 个 后 门 可 能 
包括 一 个 隐藏 的 账户 ， 或 者 是 与 某 个 应 该 只 有 受 限 访问 权 的 账户 相关 联 
的 隐藏 权限 。 在 某 些 情况 下 ， 后 门路 径 可 能 包括 映射 至 不 常见 端口 号 的 
服务 (例如 Telnet，， 本 地 管理 员 一 般 不 会 找到 和 发 现 它们 。 

在 入 侵 者 上 传 完 必要 的 工具 ， 并 且 已 经 为 掩盖 行踪 和 稍 后 再 次 回来 
做 好 安排 之 后 ， 下 一 步 就 是 着 手 对 网 络 进行 破坏 ， 例 如 盗 取 文件 和 信用 
资料 ， 或 者 是 将 系统 配置 为 spambot( 利 用 被 感染 计算 机 发 送 垃圾 邮 
件 ) 。 男 一 个 目标 是 ， 开 始 为 下 一 次 攻击 做 好 准备 。 小 心 谨慎 的 入 侵 
者 ， 永 远 不 会 愿意 在 系统 上 留 下 蛛丝马迹 。 优 先 选用 的 方法 是 ， 从 某 个 
己 经 被 控制 的 系统 发 起 攻击 。 有 些 攻击 者 通过 一 连 串 的 多 个 远程 系统 进 
行 操 作 ， 这 一 策略 使 得 几乎 不 可 能 确定 入 侵 者 的 真实 位 置 。 

11.3.5 网 络 钓鱼 

防火 墙 、 加 密 搁 术 和 其 他 安全 措施 的 普遍 使 用 ， 己 经 使 得 入 侵 者 更 
加 难以 在 未 经 邀请 的 网 络 上 胡作非为 。 攻 击 者 已 经 对 此 做 出 反应 ， 用 他 
们 目 己 的 新 一 代 技 术 来 挫败 这 些 安全 措施 。 一 种 新 的 重要 策略 是 ， 通 过 
提供 一 个 欺骗 性 的 链接 、E-mail 信 息 或 网 页 作为 诱饵 ， 诱 使 没有 疑心 的 
用 户 发 起 攻击 。 这 类 攻击 属于 “网 络 钓鱼 ”攻击 。 网 络 钓鱼 攻击 可 能 包括 
一 则 E-mail 消息 ， 要 求 用 户 登录 到 尔 个 网 上 银行 站 点 并 更 新 账户 信息 ， 
但 是 实际 上 将 其 引 同 由 攻击 者 控制 的 菜 个 伪造 的 网 页 。 

网 络 钓鱼 攻击 经 常 利用 这 样 的 一 个 事实 : 和 链接 一 同 显 示 的 文本 独 
立 于 实际 的 URL。 第 18 章 将 讲 到 ，Web 开 发 人 员 可 以 利用 如 下 所 示 的 语 
法 ， 指 定 茶 个 超 文本 链接 : 

<a href="http:/www.MyBank.com/">MyBank</a> 

在 这 种 情况 下 ，“MyBank” 将 和 指向 http:/www.MyBank.com/ 上 主页 
的 链接 一 同 显 示 。 不 过 ， 如 果 某 个 道德 有 问题 的 Web 开发 人 员 ， 像 下 
面 那样 编码 一 个 链接 会 怎么 样 呢 : 

<a 
href="http:/www.NOT_MyBank $$&o9%6209%0?2111.biz/">MVYBank</a> 

在 那 种 情况 下 ， 该 链接 仍然 会 和 标签 MyBank 一 同 显 示 ， 但 是 它 指 
同一 个 不 同 的 网 站 。 如 果 仔 细 但 看， 您 有 时 会 在 Web 浏 览 器 的 地 址 栏 












































中 ， 或 者 是 当 您 将 鼠标 巧 浮 在 相应 的 链接 上 时 ， 在 弹出 的 小 窗口 文本 
中 ， 看 到 这 些 网 络 钓鱼 URL 的 某 一 个 。 
最 好 的 策略 是 ， 不 要 点 击 不 明 E-mail 信 息 中 的 链接 ， 以 及 从 不 在 线 


递交 任何 财务 信息 ， 除 非 您 目 己 发 起 该 活动 ， 并 且 相 当 有 把 握 地 知道 目 
己 正在 去 哪里 。 


其 他 更 加 蜗 级 的 钓鱼 技术 更 难 跟踪 和 探测 。 有 一 种 被 称 为 跨 站 脚本 
的 朱 略 ， 利 用 代码 注入 ， 绕 过 浏 贤 占 安全 措施 ， 以 友 起 用 户 正 在 合 看 的 
页 面 不 易 奶 踩 的 东 个 恶意 脚本 。 

诱 使 用 户 发 起 攻击 的 技术 ， 要 比 人 简单 地 链接 到 伪造 网 站 的 诡计 含 芋 
得 多 。 像 防火 墙 这 样 的 设备 ， 其 主要 目的 就 是 要 阻止 从 外 部 友 起 的 攻 
击 。 通 过 让 用 户 发 起 相应 的 连接 ， 攻 击 者 可 以 绕 过 网 络 安全 基础 设施 中 
构建 的 许多 保护 〈 见 图 11.9) 。 浏 览 圳 和 防火 墙 均 不 易 仁 党 这 个 连接 不 
同 于 其 他 任何 指向 茶 个 外 部 网 站 的 连接 。 在 该 连接 被 建 并 之 后 ， 攻 击 者 
就 可 以 采用 大 量 策略 来 损害 安全 措施 《〈 如 果 相 应 的 攻击 是 从 防火 墙 之 外 
发 起 的 ， 那 就 不 可 能 发 生 这 样 的 情况 ) 。 这 种 攻击 甚至 不 受 网 络 地 址 转 
换 (NAT) 的 影响 ， 后 者 为 用 户 的 系统 分 配 一 个 应 当 不 可 路 由 的 卫 地 
址 。 这 里 的 防火 墙 设备 只 会 像 它 对 竺 其 他 任何 的 HITP 连 接 一 样 ， 转 换 


此 会 话 流量 。 











图 11.9 如 果 用 户 发 起 到 某 个 欺骗 性 Web 服 务 器 的 连接 ， 那 么 阻止 外 部 连 
接 企 图 的 本 地 防火 墙 通 常 是 无 效 的 


注意 : 更 好 的 防火 墙 由 于 可 能 发 生 这 种 用 户 发 起 的 攻击 ， 因 此 安全 
专家 并 不 十 分 信任 家 用 式 的 现成 防火 墙 设备 。 专 家 更 喜欢 提供 具有 更 多 
种 语法 规则 和 过 滤 机 制 的 、 更 加 复杂 的 防火 场 工具 。 

11.3.6 拒绝 服务 了 


近来 ， 一 种 狂热 的 Internet 入 侵 是 拒绝 服务 (Denial of Service， 
DoS) 攻击 。DoS 攻 击 一 旦 发 动 ， 几 乎 不 可 能 停止 ， 因 为 它 并 不 要 求 攻 
击 者 在 系统 上 拥有 特定 的 权限 。DoS 攻 击 的 关键 是 用 大 量 请 求 阻 塞 系 
统 ， 使 系统 资源 全 部 耗 尽 ， 性 能 降低 。 美 国政 府 的 网 站 以 及 与 Internet 主 
要 搜索 引擎 相关 的 那些 网 站 ， 均 已 遭 到 过 DoS 攻 击 。 

最 危险 的 DoS 攻 击 是 分 布 式 DoS 攻 击 。 在 分 布 式 DoS 攻 击 中 ， 攻 击 
者 利用 知 干 台 远 程 计 算 机 ， 指 挥 其 他 远程 计算 机 发 起 一 场 协 同 攻击 。 有 
时 ， 几 百人 台 甚 至 几 干 台 计 算 机 ， 可 以 参与 到 针对 某 个 IP 地 址 的 攻击 。 

DoS 攻 击 通 常 使 用 标准 的 TCP/IP 连 接 程序 。 例 如 ， 著 名 的 Smurf 攻 
击 ， 它 利用 ping 工 具 ， 在 受害 者 机 器 上 释放 大 量 ping 啊 应 〈( 见 图 
11.10) 。 攻 击 者 通过 定 同 广播 ， 同 整个 网 络 发 送 一 个 ping 请 求 。 这 个 
ping 的 源 地 址 ， 被 修改 为 看 上 去 该 请 求 来 自 受 害 者 的 IP 地 址 。 接 下 来 ， 
网 络 上 的 所 有 计算 机 同时 啊 应 那个 ping。Smurf 攻 击 的 结果 是 ， 攻 击 者 
最 初 发 出 的 ping， 在 放大 网 络 上 ， 被 增加 成 许多 ping。 如 果 攻 击 者 同时 
1 结果 将 是 大 量 ping 啊 应 阻塞 受害 者 的 系 
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图 11.10 DoS 攻 击 


11.3.7 防范 措施 


网 络 安全 专家 投入 了 毕生 的 精力 来 研 完 防 范 网 络 攻击 的 措施 。 当 
然 ， 他 们 所 针对 的 都 是 具有 几 百 个 节操 而 且 大 多 数 都 直接 暴露 在 
Iternet 下 的 复杂 网 络 。 在 小 型 的 网 络 中 ， 下 面 一 些 最 佳 做 法 可 以 用 来 
防范 本 章 讨论 的 这 些 攻击 技术 。 

> 使 用 正确 配置 的 防火 墙 。 

> 使 用 安全 的 密码 。 尺 管 具体 策略 不 同 ， 但 是 大 多 数 专 家 都 建议 
码 的 最 短 长 度 为 6 一 8 个 字符 ， 而 且 密码 中 要 包含 字符 、 数 字 和 标点 符 


oo 








号 








> 不 要 将 密码 透露 给 别人 。 不 要 将 密码 写 在 纸 上 并 放 在 很 显眼 的 


> 不 要 单 击 可 颖 的 链接 。 
> 使 用 最 低 的 权限 来 操作 。 
> 如 果 运 行 的 是 Windows， 要 安装 病毒 防护 软件 。 
> 关闭 不 需要 的 所 有 服务 。 
> 如 果 必 须要 访问 内 部 网 络 ， 请 使 用 VPN 来 进行 加 密 通 信 。 
> 使 用 防火 墙 。 关 闭 所 有 的 端口 ， 关 闭 所 有 的 网 络 服务 ， 除 非 你 
征 真 的 需要 这 些 服务 。 

> 在 沙 箱 环境 中 运行 网 络 服务 ， 这 样 即使 有 入 侵 发 生 ， 也 不 会 提 
升 其 操作 权限 。 

> 在 无 线 网 络 中 使 用 加 密 。 

> 经 第 安装 安全 更 新 。 

你 仍然 填 要 保持 警惕 ， 因 为 这 些 老 字号 的 拉 术 对 谨慎 的 Internet 用 
户 来 讲 ， 仅 仅 是 最 低 要 求 。 


11.4 加 密 和 保密 


截获 和 读 取 通过 茶 一 公用 网 络 传输 的 无 保护 的 数据 包 ， 古 一 件 很 容 
易 的 事 。 在 茶 些 情况 下 ， 这 些 数据 可 能 包含 用 户 信息 或 密码 信息 。 在 其 
他 情况 下 ， 该 数据 可 能 包含 您 不 希望 其 他 人 看 到 的 其 他 敏感 信息 ， 例 如 
信用 卡号 码 或 者 是 公司 机 密 。 事 实 是 ， 即 使 那些 数据 并 不 特别 涉 密 ， 但 
0 
` 舒 服 。 

下 面 将 讨论 的 安全 方法 会 让 网 络 更 加 隐秘 。 这 其 中 的 许多 方法 ， 都 
运用 一 种 被 称 为 加 密 的 概念 。 加 密 是 指 系 统 地 改变 数据 ， 使 得 未 授权 用 
户 无 法 读 取 它 的 过 程 。 数 据 由 发 送 方 加密 。 然 后 ， 该 数据 以 不 可 读 的 纺 
码 形式 在 网 络 上 传输 。 接 收 方 计算 机 接着 解密 和 读 取 该 数据 。 

实际 上 ， 加 密 根本 不 需要 计算 机 。 加 密 方法 已 经 有 几 个 世纪 的 历史 
了 。 在 人 们 编写 密 信 的 时 候 ， 他 们 区 已 开始 寻找 代码 或 诀 罕 来 保护 那些 
消息 的 秘密 。 不 过 ， 在 计算 机 时 代 ， 加 密 已 变 得 更 加 复杂 ， 因 为 有 计算 
机 可 以 轻松 地 处 理 数 量 尺 人 的 杂乱 数字 。 绝 大 多 数 计算 机 加 密 算 法 ， 部 
产生 目 对 大 量 质数 的 处 理 。 由 于 这 些 算 法 本 身 完 全 属于 数学 领域 ， 因 此 
坚 丰 夸张 地 说 ， 绝 大 多 数 创建 和 部 项 加 密 算 法 的 专家 ， 部 有 计算 机 科学 
或 数学 专业 的 研究 生 学 位 。 

加 密 几 乎 是 所 有 TCP/IP 安全 措施 的 重要 基础 。 下 面 几 个 小 市 将 讨 


地 方 























论 一 些 重要 的 加 密 概 念 。 在 您 阅读 本 章 其 余部 分 时 ， 一 定 要 记 住 安全 基 
础 设施 实际 上 有 多 个 目的 ， 而 且 安 全 方法 必须 满足 多 种 需求 。 本 节 先 讨 
W000 





> 号 份 验证 : 确保 数据 来 自 产 生 它 的 源头 。 

> 完整 性 :确保 数据 在 传输 过 程 中 未 被 蓉 改 。 

加 密 技 术 被 用 来 帮助 确保 身份 验证 和 完整 性 ， 以 及 机 密 性 。 

本 章 剩 余 内 容重 点 关注 如 何 保护 TCPAP 免 受罚 听 、 和 截获 和 操纵 。 
11.4.1 算法 和 密生 


上 一 节 讲 到 ， 加 密 融 是 使 没有 解锁 加 密 代码 秘诀 的 任何 物体 和 任何 





人 ， 均 无 法 读 取 数据 的 过 程 。 要 全 加密 起 作用 ， 通 信 实 体 双 方才 必须 
”> 使 数据 无 法 读 取 的 过 程 〈 加 密 ) ， 
> 将 无 法 读 取 的 数据 恢复 至 其 可 读 取 的 原始 格式 的 过 程 ( 解 
密 ) 





_ 在 程序 员 刚 开始 编号 加 密 软 件 时 ， 他 们 就 认识 到 日 己 必 须 对 付 下 列 
问题 。 

> 如 果 每 一 台 计 算 机 均 使 用 完全 相同 的 过 程 来 加 密 和 解密 数据 ， 
那么 该 程序 就 不 够 安全 ， 因 为 任何 甸 听 者 都 可 以 只 获得 该 程序 的 一 个 副 
本 ， 然 后 就 可 以 开始 解密 信息 。 

> 如 果 每 一 台 计 算 机 均 使 用 完全 不 同 且 不 相干 的 过 程 来 加 密 和 人 解 
密 数据 ， 那 么 每 一 台 计 算 机 都 将 需要 一 个 完全 不 同 且 不 相干 的 程序 。 每 
一 对 想 要 通信 的 计算 机 ， 都 将 需要 使 用 单独 的 软件 。 这 会 花费 很 高 ， 而 
且 在 不 同 的 大 型 网 络 上 无 法 进行 管理 。 

这 些 问题 可 能 似乎 很 难 对 付 ， 但 是 开发 加 密 技 术 的 那些 大 脑 们 很 快 
就 想到 了 一 种 解决 方案 。 这 种 解决 办 法 是 ， 加 密 或 解密 数据 的 过 程 ， 必 
须 被 分 成 一 个 标准 的 可 重复 、 可 复制 的 部 分 ( 它 始 终 相 同 ) 和 一 个 独 一 
无 二 的 部 分 ( 它 在 通信 双方 之 间 强 加 一 个 秘密 关系 〉。 

加 密 过 程 的 标准 部 分 被 称 为 加 密 算 法 。 加 密 算法 实质 上 是 一 组 数学 
步 台 ， 用 来 将 数据 转换 为 无 法 读 取 的 格式 。 加 密 过 程 独一无二 的 秘密 前 
分 ， 被 称 为 加 密 密 钥 。 加 密 学 非常 复杂 ， 但 是 为 了 便于 讨论 ， 可 以 把 密 
钥 看 做 是 一 个 比较 大 的 数字 ， 它 在 加 密 算法 内 当做 一 个 变量 使 用 。 加 密 
过 程 的 结果 ， 取 决 于 密 钥 的 值 。 因 此 ， 只 要 保守 住 密 钥 值 的 秘密 ， 未 经 
授权 的 用 户 便 将 无 法 读 取 被 加 密 的 数据 ， 即 使 他 们 拥有 必需 的 解密 软 


”优秀 加 密 算法 的 奇妙 与 上 史 梁 ， 无 论 怎样 强调 都 不 为 过 。 虽 然 如 此 ， 

















下 面 这 个 示例 仍然 可 以 阐明 密 钥 和 算法 概念 。 

有 一 个 人 不 希望 他 母 杀 知道 他 为 家 具 文 付 了 多 少 钱 。 但 是 ， 他 知道 
他 母亲 有 数学 爱好 ， 因 此 不 想 冒险 使 用 一 个 简单 的 因 式 或 乘 式 ， 来 隐藏 
真实 的 数值 ， 害 人 她 会 用 现 秘密 。 他 已 经 与 他 爱人 商定 ， 如 果 他 母 杀 来 
访 并 询问 家 具 价 格 ， 他 会 用 真实 价格 除 以 一 个 新 的 目 然 产 生 的 数字 ， 结 
CR 
法 : 











(真实 价格 ) 


hn 


那个 新 的 自然 产生 的 数字 (n) 就 是 密 钥 。 每 次 他 母亲 来 访 ， 都 可 
以 使 用 这 相同 的 算法 。 只 要 不 知道 计算 中 使 用 的 相应 密 钥 ， 那 位 母亲 便 
将 无 法 确定 隐藏 家 具 真 实 价格 的 模式 ，。 

如 果 那 个 人 带 了 一 把 椅子 或 一 张 果子 回 家 ， 并 看 到 他 母亲 在 院子 
里 ， 他 就 会 悄悄 地 用 动作 示意 其 爱人 一 个 数字 【〔 见 图 11.11〉。 当 他 母 
亲 询 问 该 家 具 的 价格 时 ， 他 便 执行 上 述 算法 ， 并 使 用 他 示意 其 爱人 的 数 
字 作 为 密 钥 。 例 如 ， 如 果 这 里 的 密 钥 为 3， 而 那 把 椅子 花 了 600 美 元 ， 那 
么 他 就 会 说 : 


x2 十 $10= 报 告 的 价格 











P00 7 gO.= $410 


其 爱人 知道 他 们 俩 分 至 的 秘诀， 知道 必须 反问 执行 上 述 算 法 才能 得 
到 真实 价格 : 


x3 ~ $600 








这 个 简单 的 示例 ， 只 是 为 了 说 明 算 法 与 密 钥 之 间 的 差别 ， 它 并 未 显 
示 出 计算 机 加 密 方法 真正 的 复杂 性 。 还 要 记 住 ， 更 改 数值 的 目的 与 使 得 
数据 无 法 读 取 的 目的 并 不 完全 相同 。 不 过 ， 在 计算 机 的 二 进 制 世界 里 ， 
这 个 差别 没有 它 可 能 看 上 去 那么 明显 。 








($410 — $10) 





X(3) = $600.00 


X2+310 =3410.00 
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图 11.11 一 个 用 于 伪装 通信 的 非常 简单 的 算法 


对 于 计算 机 来 说 ， 所 有 数据 均 采 用 使 用 1 和 0 表示 的 二 进 制 数据 位 格 
式 ， 因 此 可 以 进行 数学 运算 。 任 何 把 数据 位 串 转 换 为 另 一 个 数据 位 串 的 
过 程 ， 均 隐藏 信息 的 原始 状态 。 重 要 的 是 ， 接 收 方 必 须 有 某 种 方法 对 加 
密 数 据 进 行 逆 癌 作 业 ， 以 打开 原始 信息 ， 而 且 加 密 过 程 必须 提供 某 种 共 
享 的 秘密 值 〈 密 铀 ) ， 没 有 它 ， 解 密 将 变 得 没有 可 能 。 

加 密 是 几乎 所 有 安全 连 网 技术 的 核心 。 安 全 系统 会 加 密 密 码 、 登 录 
程序 甚至 是 整个 通信 会 话 。 尺 管 开 发 人 员 或 网 络 管理 员 会 经 常 有 意 调用 
ts 

11.4.2 对 称 〈 常 规 ) 加 密 

对 称 加 密 有 时 被 称 为 常规 加 密 ， 因 为 它 先 于 较 新 的 非 对 称 技术 而 开 
发 。 尽 管 公 开 密 钥 非 对 称 加 密 近 期 已 得 到 相当 多 的 关注 ， 但 对 称 加 密 仍 
是 最 和 常见 的 加 密 形 式 。 

对 称 加 密 之 所 以 称 为 对 称 ， 是 因为 加 密 和 解密 过 程 使 用 的 是 相同 的 
密 钥 〈 或 者 至 少 是 密 钥 可 以 用 某 些 可 预测 的 方式 来 推出 ) 。 图 11.12 摘 
述 了 一 个 对 称 加 密 / 解 密 过 程 。 有 具体 步骤 如 下 所 示 。 























双方 都 知 
道 的 密 钥 





图 11.12 对 称 加 密 过 程 


1. 创建 一 个 发 送 方 计算 机 和 接收 方 计算 机 都 知道 的 密 钥 。 

2. 发 送 方 计 算 机 使 用 一 个 预定 的 加 密 算 法 和 上 述 密 钥 ， 加 密 要 发 
送 的 数据 。 

3. 加 密 (不 可 读 的 ) 文本 被 转交 给 目的 计算 机 。 

4. 接收 方 计算 机 使 用 的 相对 应 的 解密 算法 (以 及 密 钥 ) 来 解密 数 


据 。 

对 于 那 件 家 具 ， 男 人 和 他 的 爱人 《 见 上 一 人 小节 中 的 那个 示例 ) 使 用 
一 种 对 称 算法 ， 隐 藏 了 那 把 椅子 的 真实 价格 。 

如 宁 小 心 执 行 ， 对 称 加 密 可 以 非常 安全 。 对 于 任何 加 密 方案 〈 对 称 
或 非 对 称 〉 的 安全 性 ， 最 重要 的 考虑 因 系 如 下 : 

> 加 密 算法 的 强度 ; 

> 密 钥 的 强度 ; 

> 密 钥 的 保密 能 力 。 

破解 一 种 使 用 128 位 密 钥 的 加 密 算 法 ， 可 能 看 来 好 像 完 全 不 可 能 ， 
但 是 确实 会 及 生 。 密 钥 破 解 工具 可 以 在 Internet 上 可 以 随意 获取 ， 而 且 
有 些 曾经 被 认为 牢 不 可 破 的 128 位 加 密 算法 ， 现 在 也 被 认为 是 不 安全 的 
了 。 盗 取 加 密 数 据 的 另 一 种 方式 是 盗 取 密 钥 。 相 关 的 软件 必须 提供 茶 种 
安全 的 手段 ， 来 将 密 钥 转交 给 接收 方 计算 机 。 当 前 有 多 种 密 钥 传送 系 
统 ， 本 章 稍 后 将 介绍 其 中 的 几 种 。 就 对 称 加 密 来 说 ， 密 钥 就 是 整个 秘 
密 。 如 采 捕 获 了 相应 的 密 钥 ， 您 融 拥 有 一 切 了 。 因 此 ， 绝 大 多 数 系 统 要 
求 定期 更 新 密 钥 。 一 对 相互 通信 的 计算 机 所 使 用 的 独一无二 的 密 钥 ， 可 
能 会 重新 创建 每 一 个 会 话 ， 也 可 能 在 指定 时 间 间 隔 之 后 重新 创建 。 密 角 
更 新 增加 了 网 络 上 的 密 钥 数量 ， 可 以 缓解 对 有 效 保护 密 钥 的 需求 。 

有 一 些 常 见 的 加 宅 算 法 都 充分 利用 了 对 称 加 密 。 数 据 加 密 标准 

















CDES) 算法 曾经 很 流行 ， 但 是 其 56 位 的 密 钥 现在 看 来 太 短 了 。 现 代 
加 密 技 术 通 常 允 许可 变 的 密 钥 长 度 。DES 的 一 种 派生 算法 被 称 为 高 级 加 
密 标 准 〈AES) ， 它 支持 128、192 或 256 位 密 钥 。Blowfish 对 称 算法 可 提 
供 高 达 448 位 的 密 钥 长 度 。 

11.4.3 韭 对 称 (公开 密 钥 〉 加 密 


最 近 30 年 形成 的 男 一 种 加 密 方法 ， 解 决 了 对 称 加 密 固有 的 一 些 密 
钥 分 发 问题 。 非 对 称 加 密 之 所 以 称 为 非 对 称 ， 是 因为 用 来 加 密 数 据 的 密 
钥 ， 与 用 来 解密 数据 的 密 钥 不 同 。 

非 对称 加 密 通常 与 一 种 被 称 为 公开 密 钥 加 和 密 的 加 密 方法 相关 。 在 公 
开 密 钥 加 密 中 ， 两 个 密 钥 中 的 一 个 (被 称 为 私有 密 钥 〉 安 全 地 保留 在 一 
台 计 算 机 上 。 另 一 个 密 钥 (公开 密 钥 〉 对 于 所 有 想 要 给 私有 密 钥 持 有 者 
发 送 数 据 的 计算 机 均 可 用 。 具 体 步 又 如 下 所 示 。 

1. 计算 机 A 设法 与 计算 机 B 建 立 一 个 连接 。 

2. 计算 机 B 上 的 加 密 软件 生成 一 个 私有 密 钥 和 一 个 公开 密 钥 。 私 
有 和 密 钥 不 与 任何 人 分 享 。 公 开 密 钥 被 提供 给 计算 机 A 使 用 。 

3. 计算 机 A 使 用 从 计算 机 B 接 收 到 的 公开 密 钥 加 密 数 据 并 传输 数 
据 。 来 自 计 算 机 了 的 公开 密 钥 被 存储 在 计算 机 A 上 ， 以 供 将 来 引用 。 
本 
J 解密 。 

注意 : 保密 性 和 真实 性 

可 能 会 及 生 争 论 的 是 ， 尺 管 截 获 公开 密 钥 的 锁 听 者 无 法 读 取 发 送 自 
计算 机 A 的 数据 ， 但 是 该 鳃 听 者 仍然 可 以 通过 加 密 新 的 数据 并 将 其 发 
送 给 计算 机 B 来 伪装 成 计算 机 A。 因 此 ， 虽 然 公 开 密 钥 加 密 提 供 机 密 
性 ， 但 是 它 未 必 提 供 真实 性 。 不 过 ， 有 几 种 方法 可 以 在 加 密 数 据 内 装 入 
鉴别 信息 ， 从 而 使 得 数据 被 解密 时 ， 计 算 机 B 将 有 一 定 的 把 握 该 数据 实 
际 上 来 自 计 算 机 A。 

公开 密 钥 方法 的 一 个 重要 方面 是 ， 通 过 公开 密 钥 执行 的 加 密 是 单 疝 
函数 。 公 开 密 钥 可 以 用 来 加 密 数 据 ， 但 是 只 有 相应 的 私有 密 钥 才 可 以 解 
2 0 

0D 密 } 言 轧 。 

公开 密 钥 加 密 方法 通常 用 于 受 保护 的 Internet 交易 。 本 章 稍 后 将 讨 
论 有 关公 开 密 钥 证 书 的 内 容 ， 它 们 用 于 TCP/IP 安 全 协议 ， 例 如 安全 套 接 
层 (Secure Sockets Layer) 和 IPSec。 

11.4.4 数字 签名 

有 时 ， 一 定 要 确保 消息 的 真实 性 ， 即 使 您 并 不 关心 该 消息 的 内 容 是 
舍 包 含 机 密 信 息 。 例 如 ， 一 名 证 券 经 纪 人 可 能 接收 到 一 则 电子 邮件 信 

















亚 


说 : 

出 售 20 股 我 的 微软 股票 。 

-Bennie 

出 售 20 份 股 份 ， 可 能 是 这 个 投资 者 完全 例 行 的 事件 。 该 投资 者 和 
经 纪 人 可 能 并 不 关心 这 个 交易 是 否 完 全 免 遭 田 听 。 不 过 ， 他 们 可 能 认 
为 ， 确 保 这 个 出 售 通知 来 日 Bennie 而 非 其 他 伪装 成 Bennie 的 茶 个 人 更 重 


女 o 

数字 签名 方法 用 于 确保 数据 来 自 其 所 属 的 数据 源 ， 并 且 访 数据 在 其 
交付 路 径 中 没有 被 更 改过 。 

数字 签名 就 是 与 报 文 包括 在 一 起 的 一 块 加 密 数 据 。 这 块 加密 数 据 有 
时 被 称 为 鉴别 码 (authenticator) 。 数 字 签 名 通常 逆 同 使 用 公开 密 钥 加 
密 过 程 〈 见 图 11.13) 。 
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图 11.13 数字 签名 过 程 


1. 计算 机 B 想 要 友 送 一 个 具有 数字 签名 的 文档 给 计算 机 A。 计 算 机 
B 根 据 验 证 文档 内 容 所 需 的 信息 ， 创 建 一 小 段 数据 。 换 句 话 说 ， 残 是 对 
文档 中 的 一 些 位 执行 某 种 数学 计算 ， 以 得 到 一 个 值 。 鉴 别 码 可 能 还 包含 
其 他 可 用 来 验证 消息 真实 性 的 信息 ， 例 如 一 个 时 间 戳 值 ， 或 其 他 将 把 鉴 
别 码 与 其 附着 的 消息 关联 起 来 的 参数 。 

2. 计算 机 B 使 用 一 个 私有 密 钥 加 密 鉴别 码 ( 注 意 ， 这 是 上 一 小 市 
中 描述 的 公开 密 钥 加 密 过 程 的 逆向 。 在 上 一 小 节 中 ， 私 有 密 钥 解 密 数 
据 》。 鉴 别 码 然后 被 附 于 要 传输 的 文档 ， 该 文档 再 被 发 送 给 计算 机 A。 

3. 计算 机 A 接收 数据 ， 并 使 用 计算 机 B 的 公开 密 钥 解 宅 相应 的 鉴别 
码 。 鉴 别 码 中 的 信息 使 得 计算 机 A 可 以 验证 该 数据 是 否 在 传输 过 程 中 被 
更 改过 。 实 际 上 ， 数 据 可 以 使 用 计算 机 B 的 公开 密 钥 进行 解密 ， 即 证 实 
该 数据 是 使 用 计算 机 B 的 私有 和 密 钥 加 密 的 ， 这 就 确保 数据 来 自 计 算 机 














B。 

数字 签名 以 这 种 方式 确保 数据 没有 被 更 改过 ， 而 且 它 来 自 其 推定 的 
数据 源 。 作 为 一 项 基本 的 安全 措施 ， 整 个 消息 都 可 以 使 用 计算 机 B 的 私 
有 密 钥 进行 加 密 ， 而 不 仅仅 是 鉴别 码 。 然 而 ， 使 用 私有 密 钥 加 密 ， 再 使 
用 公开 密 钥 解密 ， 实 际 上 并 不 可 靠 ， 因 为 用 来 解密 的 公开 密 钥 是 通过 
Internet 发 送 的 ， 因 此 可 能 并 不 保密 。 一 个 获得 公开 密 钥 的 和 田 听 者 可 以 
解密 加 密 后 的 鉴别 码 。 不 过 ， 该 鳃 听 者 将 无 法 再 加 密 一 个 新 的 鉴别 码 ， 
因此 也 就 无 法 伪 闭 成 计算 机 了 B。 

11.4.5 数字 证 书 

使 得 任何 提出 请 求 的 人 都 可 以 获得 公开 密 钥 的 重大 设计 是 一 项 有 趣 
的 解决 方案 ， 但 是 仍然 存在 一 些 局 限 性 。 事 实 上 ， 攻 击 者 仍然 可 以 利用 
公开 密 钥 进 行 恶 作 剧 。 攻 击 者 可 以 解密 数字 签名 ， 或 者 甚至 可 以 读 取 使 
用 相应 用 户 私 有 密 钥 加 密 的 密码 。 提 供 某 种 安全 系统 ， 用 于 确保 谁 可 以 
获得 公开 密 钥 的 访问 权 ， 这 样 会 更 安全 一 些 。 

对 于 这 个 问题 的 一 种 解决 方法 就 是 所 谓 的 使 用 数字 证 书 。 数 字 证 书 
实质 上 就 是 公开 和 密 钥 的 一 个 加 和 密 副 本 。 相 应 的 认证 过 程 如 图 11.14 所 
示 。 这 个 过 程 需 要 一 台 第 三 方 的 证 书 服务 器 ， 它 与 想 要 通信 的 双方 都 有 
一 个 安全 的 联系 。 证 书 服务 喜 也 被 称 为 认证 中 心 〈 Certificate 
Authority, CA) 。 














证 书 服 务 器 







(3) 用 户 A 获得 用 来 用 户 B 向 证 书 
解密 来 自 认证 服 服务 器 发 送 公 
开 密 钥 并 接收 


务 器 的 证 书 的 密 
钥 加 密 后 的 证 书 


(2 ) 包含 用 户 B 的 公开 密 钥 
的 证 书 被 传输 给 用 户 A 


(4) 用 户 A 使 用 用 户 B 的 公开 
密 钥 与 用 户 B 进行 通信 





图 11.14 利用 数字 签名 进行 身份 验证 


有 几 家 公司 为 Internet 提 供 证 书 服务 ， 其 中 一 家 主要 的 证 书 中 心 是 
VeriSign 公 司 。 一 些 大 型 公司 也 提供 它们 自己 的 证 书 服务 。 不 同 三 商 的 
认证 过 程 有 所 不 同 。 下 面 概述 一 下 该 过 程 。 

a 用 户 B 通 过 一 个 安全 通信 ， 将 其 公开 密 钥 的 一 个 副本 发 送 给 证 书 
服务 右 。 

2. 证 书 服务 器 使 用 男 一 个 密 钥 加 密 用 户 B 的 公开 密 钥 (以 及 其 他 用 
户 参 数 ) 。 这 个 新 加 密 的 数据 包 被 称 为 证 书 。 与 该 证 书包 含 在 一 起 的 是 
证 书 服务 器 的 数字 签名 。 

3. 证 书 服务 器 将 证 书 返 回 给 用 户 B。 

4. 用 户 A 珊 要 获得 用 户 B 的 公开 密 铀 。 计 算 机 A 问 计算 机 B 请 求 用 
户 B 的 一 个 证 书 副本 。 

0 
密 钥 副 本 。 

6. 计算 机 A 使 用 从 证 书 服务 器 获得 的 密 钥 解密 证 书 ， 并 提取 用 户 B 
的 公开 和 密 钥 。 计 算 机 A 同时 检查 证 书 服务 器 的 数字 签名 ( 见 步骤 2)， 
以 确保 该 证 书 是 可 信 的 。 

这 种 认证 过 程 最 著名 的 标准 是 X.509 标 准 ， 它 在 多 个 RFC 中 均 有 描 








述 。X.509v3 在 RFC 2459 和 后 续 RFC 中 就 有 描述 。 最 新 的 REFC 版 本 是 
5280。 

数字 证 书 的 过 程 是 为 用 户 团体 而 设计 的 。 你 可 能 也 猜 到 了 ， 该 过 程 
的 安全 性 依赖 于 与 证 书 服务 器 通信 所 需 的 所 有 密 钥 的 安全 分 发 。 这 可 能 
看 起 来 好 像 只 是 转移 了 问题 〈 您 通过 预先 假定 与 证 书 服 务 器 的 安全 通信 
来 保证 与 远程 主机 的 安全 通信 ) 。 然 而 ， 受 保护 的 通信 通道 被 限于 单 台 
证 书 服务 器 《而 不 是 团体 内 任何 可 能 的 主机 ) 的 事实 ， 使 得 为 确保 安全 
交换 而 强加 额外 安全 措施 的 系统 开销 更 为 可 行 。 

本 章 前 面 描述 的 认证 过 程 假定 分 配给 计算 机 A 的 证 书 服务 器 ， 与 为 
用 户 B 提 供 证 书 的 服务 器 是 同一 台 。 在 大 型 网 络 中 ， 该 认证 过 程 可 能 实 
际 上 需要 许多 四 处 分 散 的 证 书 服务 器 。 在 那 种 情况 下 ， 该 过 程 可 能 需要 
与 其 他 证 书 服务 器 进行 一 系列 的 通信 和 证 书 交 换 ， 以 到 达 提 供用 户 B 证 
书 的 那 台 服务 器 。 正 如 RFC 2459 所 述 :“ 一 般 而 言 ， 可 能 需要 一 连 串 多 
个 证 书 ， 包 括 由 一 个 CA 签署 的 公开 密 钥 所 有 者 〈 终 端 实体 ) 的 证 书 ， 
以 及 零 或 多 个 由 其 他 CA 签署 的 另外 的 CA 证 书 。 这 样 的 证 书 链 《〈 被 称 为 
认证 路 径 ) 是 必需 的 ， 因 为 公开 密 钥 用 户 最 初 只 有 有 限 几 个 有 保证 的 
CA 公开 密 钥 。” 很 幸运 ， 就 像 是 绝 大 多 数 与 加 密 相 关 的 细节 一 样 ， 这 个 
过 程 也 内 置 于 软件 中 ， 而 且 不 需要 用 户 直 接 监 视 。 

在 本 章 稍 后 讨论 的 一 些 TCP/IP 安 全 协议 (例如 SSL 和 IPSec) 中 ,将 
使 用 到 X.509 认 证 过 程 。 

11.4.6 保护 TCP/IP 


最 近 几 年 ， 厂 商 们 一 直 忙 于 扩展 和 推广 他 们 的 TCP/IP 实现 ， 以 并 
入 本 章 前 面 讨论 的 安全 和 加 密 技 术 。 下 面 将 描述 加 密 技 术 是 如 何 集成 到 
两 种 Internet 安全 协议 系统 (SSL/TLS 和 IPSec) 中 的 。 

其 他 公用 的 安全 协议 也 在 开发 之 中 ， 而 且 有 些 安全 软件 厂商 已 经 开 
发 了 他 们 上 自己 的 系统 。 下 面 几 个 小 节 将 帮助 读者 对 在 某 个 真实 网 络 的 业 
务 中 加 入 加 密 保 证 所 需 解 决 方案 的 类 型 有 一 定 的 了 解 。 

1. SSL 和 TLS 

安全 套 接 层 (Secure Sockets Layer，SSL) 是 美国 Netscape 公 司 为 保 
护 Web 通 信和 而 引入 的 一 个 TCP/IP 安全 协议 集 。SSL 的 目的 是 ， 在 传输 
层 上 的 套 接 字 和 提供 那些 套 接 字 访问 网 络 的 应 用 程序 之 间 提 供 一 层 安 
全 。 图 11.15 显示 了 SSL 在 TCP/IP 协议 栈 中 的 位 置 。 这 里 的 理念 是 ， 
在 SSL 被 激活 时 ， 网 络 服务 〈 例 如 FTP 和 HTTP) 便 将 受到 安全 的 SSL 协 
议 的 保护 ， 以 免 遭 攻击 。 传 输 层 安全 (Transport Layer Security，TLS ) 
最 初 是 RFC 2246 中 描述 的 一 种 协议 标准 ， 其 最 新 的 更 新 在 RFC 5246 中 
有 讲述 。 它 以 SSL3.0 为 基础 ， 所 以 通常 被 认为 是 S55L 的 一 个 后 续 产 品 ， 






































现在 它 已 经 成 为 业界 标准 。 但 是 ， 在 产品 名 称 和 真实 的 软件 中 ， 仍 然 将 
其 称 为 SSL。 下 面 简要 描述 一 下 SSL，TLS 协 议 与 此 类 似 。 


es SSL 
P 


UDP TC 


网 络 访问 层 


图 11.15 TCP/IP 栈 和 SSL 
仔细 和 查看 SSL 层 ， 可 以 发 现 它 包 含 两 个 子 层 〈 见 图 11.16) 。SSL 记 


录 协 议 〈Record Protocol) 是 访问 TCP 的 一 个 标准 库 。 在 这 个 记录 协议 
之 上 ， 是 一 组 执行 特定 服务 的 SSL 相 关 协 议 。 


SSL 变更 SSL 警 应 用 层 协议 
密码 协议 告 协 议 (HTTP 等 ) 














SSL 记录 协议 


图 11.16 SSL 协议 


全 
9 
-也 


> SSL 握 手 协议 (Handshake Protocol) : 用 来 访问 TCP 的 基础 协 
议 。 

> SSL 更 改 密 文 规范 协议 (Change Cipher Spec Protocol) : 支持 对 
加 密 套 件 设置 的 更 改 。 

> SSL 告 警 协 议 (Alert Protocol) : 发 出 告警 。 





文 持 SSL 的 服务 直接 通过 SSL 记 录 协 议 运 行 。 在 连接 建立 之 后 ，SSL 
记录 协议 提供 确保 会 话机 密 性 和 完整 性 所 需 的 加 密 和 验证 。 

如 同 其 他 协议 安全 技术 一 样 ， 这 里 的 技巧 是 要 检验 参与 者 的 吴 份 和 
安全 地 交换 将 用 来 加 解密 数据 传输 的 密 钥 。SSL 采 用 公开 密 钥 加 密 ， 并 
提供 对 数字 证 书 的 支持 。 

SSL 握 手 协 议 建 立 相 应 的 连接 ， 并 协商 所 有 连接 设置 (包括 加 密 设 


2 

许多 网 站 利用 SSL 建立 一 个 安全 的 连接 ， 用 于 交换 财务 信息 以 及 
其 他 敏感 数据 。 带 有 SSL 加 密 的 一 个 HITP Web 协 议 版 本 被 称 为 
HTTPS。 绝 大 多 数 主流 浏览 器 很 少 或 根本 不 需要 用 户 输入 ， 束 能 够 建立 
SSL 连 接 。SSL 的 一 个 问题 是 ， 由 于 SSL 在 传输 层 之 上 运行 ， 因 此 使 用 相 
应 连接 的 应 用 程序 必须 能 够 感知 SSL (除非 它们 通过 可 以 感知 5S5L 的 兼 
容 软 件 来 运行 ) 。 下 一 小 节 将 摘 述 另 一 种 TCP/IP 安 全 系统 (IPSec) ， 
它 运 行 在 一 个 较 低 的 层 ， 因 此 会 对 应 用 程序 隐藏 安全 系统 的 具体 细节 。 

注意 : SSL 和 TLS 都 是 用 于 面向 连接 的 TCP 连 接 。 称 之 为 数据 报 传 
输 协议 安全 (Datagram Transport Protocol Security，DTLS) 的 另外 一 种 
协议 提供 了 类 似 于 TLS 的 安全 ， 它 可 以 文 持 使 用 UDP 的 无 连接 通信 。 有 
关 DTLS 的 更 多 细节 ， 请 参阅 RFC 4327。 

2. IPSec 

IP 安 全 (IPSec) 是 TCP/IP 网 络 上 使 用 的 另 一 种 安全 协议 系统 。 
IPSec 在 TCP/IP 协 议 栈 中 运行 ， 位 于 传输 层 之 下 。 由 于 安全 系统 在 传输 
层 之 下 实现 ， 因 此 在 传输 层 之 上 运行 的 应 用 程序 就 不 需要 安全 系统 的 相 
关 知 识 。IPSec 提供 对 机 密 性 、 访 问 控制 、 身 份 验证 和 数据 完整 性 的 文 
持 。IPSec 还 可 防护 重 放 攻 击 ， 在 其 中 ， 攻 击 者 会 从 数据 流 中 提取 一 个 
数据 包 ， 然 后 稍 后 重新 使 用 它 。 

IPSec 实质 上 是 对 IP 协 议 的 一 组 扩展 ， 它 在 多 个 RFC 中 均 有 描述 ， 
包括 RFC 2401、4301、4302 和 4303。 这 些 RFC 描 述 了 针对 IPvV4 和 IPvV6 的 
PP 安全 扩展 。IPv6 协 议 系 统 结构 内 置 有 IPSec。 在 IPv4 中 ，IPv4 被 当 作 是 
一 个 扩展 ， 但 是 许多 IPv4 实 现 中 仍然 内 置 了 对 IPSec 的 文 持 。 

IPSec 可 疝 任 何 网 络 应 用 程序 提供 基于 加 密 的 安全 的 好 处 ， 不 管 该 
应 用 程序 是 否 可 以 感知 到 安全 。 不 过 ， 相 互通 信 的 两 台 计 算 机 的 协议 栈 
都 必须 支持 IPSec。 由 于 这 种 安全 措施 对 于 高 层 应 用 程序 来 说 是 不 可 见 
的 ， 因 此 ，IPSec 非常 适 于 为 像 路 由 器 和 防火 墙 之 类 的 网 络 设备 提供 安 
全 。IPSec 可 以 以 下 面 两 种 模式 之 一 运行 。 

> 传送 模式 为 卫 数 据 包 的 载荷 提供 加 密 。 该 载 荷 然后 被 封装 进 一 
个 正常 的 耳 数据 包 中 进行 传送 。 

> 隧道 模式 加 密 整 个 了 数据 包 。 加 密 后 的 数据 包 ， 然 后 被 作为 载 





























谷 封 装 到 进 另 一 个 外 部 数据 包 。 

隧道 模式 可 以 用 来 构建 一 个 安全 的 通信 隧道 ， 在 其 中 ， 网 络 的 所 有 
细节 都 将 被 隐藏 起 来 。 守 听 者 甚至 无 法 读 取 报头 以 获取 数据 源 卫 地 
址 。IPSec 隧道 模式 通 音 用 于 虚拟 专用 网 络 C(VPN) 产品 ， 它 们 用 来 在 
公用 网 络 中 创建 一 个 完全 专用 的 通信 隧道 。 

IPSec 使 用 许多 加 密 算法 和 密 钥 分 发 技术 ， 数 据 使 用 像 AES、RC5 或 
Blowfish 这 样 的 常规 加 密 算法 进行 加 密 ， 和 里 份 验证 和 密 钥 分 发 可 能 会 使 
用 公开 密 钥 技术 。 

3. 虚拟 专用 网 络 (VPN) 

远程 访问 的 问题 已 经 在 本 书 中 出 现 过 很 多 次 了 。 这 个 问题 实际 上 已 
经 是 贯穿 TCP/IP 发 展 的 一 个 重要 问题 。 您 如 何 连 接 距 离 不 是 很 近 、 不 
够 采用 LAN 样式 电 统 连接 的 计算 机 呢 ?” 系 统管 理 员 总 是 依靠 以 下 两 种 
重要 的 方法 进行 远程 连接 。 

> 拨号 : 远程 用 户 通 过 调制 解 调 器 连接 到 某 个 拨号 服务 器 ， 后 者 
充当 到 网 络 的 一 个 网 关 。 

> 广域网 CWAN) : 两 个 网 络 通 过 租用 电话 公司 或 Internet 服务 
提供 商 的 专用 线路 连接 在 一 起 。 

这 两 种 方法 都 有 缺点 。 众 所 周知 ， 拨 号 连接 速度 很 慢 ， 而 且 它 们 依 
赖 于 电话 连接 的 质量 。WAN 连 接 有 时 也 比较 慢 ， 但是， 更 重要 的 是 ， 
构建 和 维护 WAN 会 比较 昂 贯 ， 而 且 它 不 可 移动 。 对 于 带 着 笔记 本 电脑 
四 处 旅行 、 位 置 不 定 的 远程 用 户 来 说 ， 就 不 能 选用 WAN 连 接 。 

这 些 问题 的 一 种 解决 办 法 是 ， 通 过 开放 式 的 Internet 直接 连接 到 远 
程 网 络 。 这 个 解决 方案 快速 、 方 便 ， 但 是 Internet 上 充满 敌意 和 不 安全 
因素 ， 如 果 不 提 供 某 种 防止 田 听 的 方式 ， 那 么 这 样 的 选择 完全 是 不 可 行 
的 。 专 家 开始 考虑 ， 是 否 有 某 种 方式 可 以 利用 加 密 工 具 来 创建 一 个 穿 过 
公用 网 络 的 专用 通道 。 这 个 问题 的 解决 方案 后 来 便 形成 了 我 们 现在 所 知 
道 的 虚拟 专用 网 络 (Virtual Private Network，VPN) 。VPN 建 立 一 个 横 
| 通过 它 ， 普 通 的 TCP/IP 流 量 即 可 安全 地 进行 传 









































注意 : VPN 协 议 

本 间 前 面 所 讲解 的 IPSec 是 一 种 支持 安全 网 络 连接 的 协议 ， 而 VPN 
就 是 连接 本 身 。VPN 应 用 程序 就 是 创建 和 维持 这 些 专用 远程 连接 的 程 
序 。 有 些 VPN 工 具 利 用 IPSec 进行 加 密 ， 有 些 则 依赖 于 其 他 SSL 或 其 他 
加 密 技 术 。Microsoft 的 系统 通过 “点 对 点 隧道 协议 ”( 源 自 PPP 调 制 解 调 
器 协议 ) 提供 VPN 隧 道 功 能 ;比较 新 的 Microsoft 系 统 为 VPN 会 话 采 
用 “第 2 层 隧道 协议 ”(L2TP)。 

如 果 传 送 链 中 的 每 一 人 台 路 由 吉 都 需要 知道 加 密 密 铀 ， 那 么 本 章 前 面 








所 描述 的 加 密 技术 将 无 法 很 好 地 发 挥 作用 。 加 密 是 针对 点 对 点 连接 的 。 
这 里 的 理念 是 ， 远 程 服务 器 上 的 VPN 客户 端 软件 与 一 台 充 当 所 在 网 络 
网 关 的 VPN 服 务 器 建立 连接 〈 见 图 11.17) 。VPN 客 户 端 和 服务 器 交换 
通过 Internet 正 常 传递 的 、 可 路 由 的 明文 TCP/IP 数 据 报 。 不 过 ， 通 过 VPN 
连接 发 送 的 载荷 〈 即 数据 ) ， 实 际 上 就 是 加 密 后 的 数据 报 。 加 密 后 的 数 
据 报 (在 开放 的 Intemet 上 是 不 可 读 的 ) 被 封装 入 可 读 取 的 明文 数据 报 
中 ， 再 转发 给 VPN 服 务 器 。VPN 服 务 器 软件 接着 提取 加 密 后 的 数据 报 ， 
i 然后 将 封装 数据 转发 至 受 保护 网 络 上 的 目 










Internet 






带 有 加 密 载 荷 
的 正常 数据 报 


et 
图 11.17 VPN 通过 公共 网 络 提供 专用 隧道 


尽管 VPN Ct 骨 和 服务 器 之 间 发 送 的 未 加 密 数 据 包 有 可 能 被 截 

0 昌都 在 加 密 后 的 载荷 中 ， 没 有 必要 的 密 铀 ， 那 个 镭 贼 将 
法 解密 它 。 

随 着 VPN 的 出 现 ， 现 在 用 户 可 以 轻易 地 越过 Internet， 与 远程 网 络 建 
并 安全 的 、 类 似 LAN 的 连接 。 在 大 多 数 系统 上 上， 有关 建 立 和 维护 VPN 连 
接 的 细节 ， 均 在 相应 的 软件 中 人 处理 。 用 户 只 需要 启动 VPN 应 用 程序 ， 
然后 输入 里 份 验证 信息 。 在 连接 建立 之 后 ， 用 户 就 可 以 像 连 接 在 本 地 一 
样 与 远程 网 络 交 互 了 。 

















4. Kerberos 

Kerberos 是 一 种 基于 网 络 的 身份 验证 和 访问 控制 系统 ， 用 来 文 持 跨 
敌意 网 络 的 安全 访问 。 它 是 美国 驴 省 理工 学 院 (MIT) 作为 “雅典 娜 ” 计 
划 的 一 部 分 而 开发 的 。Kerberos 系统 最 初 计 划 用 于 基于 UNIX 的 系统 ， 
但 是 后 来 被 移植 到 其 他 环境 。Microsoft 就 为 Windows 网 络 提供 了 一 个 
Kerberos 版 本 。 

现在 你 可 能 也 已 经 知道 ， 对 于 敌意 网 络 上 的 安全 通信 问题 ， 较 简洁 
的 回答 就 是 加 密 。 较 长 的 回答 则 是 提供 一 种 手段 ， 来 保护 加 密 密 钥 的 安 
全 。Kerberos 提供 一 种 系统 的 方法 ， 用 于 辐 通 信 主 机 分 发 密 铀 ， 并 检验 
请 求 访 问 某 一 服务 的 客户 端的 证 书 。 

Kerberos 系 统 使 用 被 称 为 密 钥 分 发 中 心 (Key Distribution Center， 
KDC) 的 服务 器 来 管理 密 钥 分 发 过 程 。Kerberos 吴 份 验证 过 程 涉及 以 下 
3 个 实体 的 关系 。 

> 客户 端 : 请 求 访问 服务 器 的 计算 机 。 

> 服务 器 : 在 网 络 上 提供 服务 的 计算 机 。 

> KDC: 指定 为 网 络 通信 提供 密 钥 的 计算 机 。 

Kerberos 吴 份 验证 过 程 如 图 11.8 所 示 。 注 意 ， 这 个 过 程 假定 KDC 已 
经 有 一 个 共享 的 密 钥 可 以 用 来 与 这 里 的 客户 端 进行 通信 ， 还 有 一 个 共享 
的 密 钥 可 以 用 来 与 这 里 的 服务 器 进行 通信 。 这 些 密 钥 用 来 加 密 一 个 新 的 
会 话 密 铀 ， 客 户 端 和 服务 器 将 使 用 它 进 行 相互 通信 。KDC 用 来 为 客户 端 
和 服务 器 加 密 数 据 的 那 两 个 单独 密 钥 被 称 为 长 期 密 钥 。 长 期 密 钥 通常 产 
生 于 KDC 和男 一 台 计 算 机 共享 的 一 个 秘密 。 一 般 而 言 ， 客 户 端 长 期 密 
钥 产 生 于 客户 端 和 KDC 都 知道 的 用 户 登 录 密 码 的 一 个 蛤 希 。 








KDC 








(1 使 用 服务 器 的 长 期 密 铀 

加 密 的 会 话 票证 与 会 话 
密 钥 捆绑 在 一 起 ， 然 后 
封装 近 发 给 客户 端的 加 
密 数据 包 内 


会 话 密 钥 


a (3 ) 服务 器 解密 会 话 票证 以 获 
取 会 话 密 钥 ， 然 后 使 用 会 
话 密 钥 来 解密 文 电 鉴别 码 


文 电 鉴别 码 


(2 ) 客户 端 使 用 会 话 密 钥 封装 加 
密 文 电 鉴别 码 ， 然 后 将 会 话 
票证 和 加 密 后 的 文 电 鉴别 码 
发 送 给 服务 器 


图 11.18 Kerberos 身份 验证 过 程 








具体 过 程 如 下 。 在 您 读 完 这 个 过 程 时 ， 请 记 住 ，Kerberos 一 般 使 用 
生 规 的 〈 对 称 ) 加 蜜 技术， 而 不 是 公开 密 钥 〈 非 对 称 ) 加 密 技 术 。 换 名 
话说 ， 每 次 交换 的 双方 均 使 用 相同 的 密 钥 。 

1. 这 里 的 客户 端 想 要 访问 服务 器 A 上 的 某 个 服务 。 它 况 KDC 发 送 
一 个 请 求 来 访问 服务 器 A 上 的 服务 〈 在 某 些 情况 下 ， 客 户 端 已 经 经 过 身 
份 验证 ， 并 接收 到 一 个 单独 的 会 话 密 铀 ， 用 于 加 密 与 KDC 上 票证 授予 服 
务 的 通信 ) 。 

2. 这 里 的 KDC 执 行 以 下 步骤 。 

a.KDC 生 成 一 个 会 话 密 钥 ， 该 密 钥 将 用 来 加 密 客 户 端 和 服务 器 A 
之 间 的 通信 。 

b. KDC 创 建 一 个 会 话 票证 (session ticket) ， 它 包括 步骤 2a 中 所 生 
成 的 会 话 密 钥 的 一 个 副本 。 该 票证 还 包含 时 间 惟 信息 以 及 有 关 正 在 请 求 
访问 的 客户 端的 信息 ， 例 如 客户 端 安全 设置 。 

c. KDC 使 用 服务 器 A 的 长 期 密 钥 加 密 刚 创建 的 会 话 票 证 。 

d. KDC 为 客户 端 捆绑 加 密 后 的 会 话 标 证、 会话 密 钥 的 一 个 副本 以 
及 其 他 啊 应 参数 ， 并 使 用 客户 端的 密 钥 加 密 整个 数据 包 。 该 啊 应 然后 被 
发 送 给 客户 端 。 

3. 客户 端 接收 来 自 KDC 的 啊 应 并 解密 。 客 户 端 将 获得 与 服务 堪 A 
通信 所 需 的 会 话 密 钥 。 它 所 接收 到 的 数据 包 中 ， 还 包括 KDC 创建 的 会 


话 时 证， 那 是 使 用 所 请 求 的 服务 占 的 长 期 密 钥 加 密 的 。 客 户 站 无 法 读 取 
该 会 话 标 证， 但 是 它 知道 必须 将 此 票证 发 送 给 相应 的 服务 器 ， 才 能 通过 
身份 验证 。 客 户 端 创建 一 个 鉴别 码 ( 一 串 身 份 验证 参数 ) ， 并 使 用 这 里 
的 会 话 票 证 对 它 进 行 加 密 。 

4. 客户 端 癌 服务 器 A 发 送 一 个 访问 请 求 。 该 请 求 包 括 上 述 会 话 标 
证 (已 使 用 所 请 求 服务 器 的 长 期 密 钥 进行 加 密 〉 和 鉴别 码 ( 已 使 用 会 话 
密 铀 进行 加 密 )。 这 里 的 鉴别 码 包括 用 户 的 名 称 、 网 络 地 址 和 时 间 蕉 信 

5. 服务 器 A 接收 上 述 请 求 。 服 务 器 A 使 用 其 长 期 密 钥 解密 上 述 会 话 
票证 《〈 见 步骤 2c) 。 服 务 器 A 从 会 话 票 证 中 提取 会 话 密 钥 ， 并 使 用 该 会 
话 密 钥 解密 鉴别 码 。 服 务 絮 A 检验 鉴别 码 中 的 信息 是 舍 与 包括 在 会 话 肝 
证 中 的 信息 相 匹 配 。 如 果 是 ， 则 授予 对 所 请 求 服 务 的 访问 权 。 

6. 作为 可 选 的 最 后 一 步 ， 如 果 客 尸首 想 要 检验 服务 右 A 的 证 书 ， 
服务 器 A 将 用 会 话 密 钥 加 密 一 个 鉴别 码 ， 并 将 这 个 鉴别 码 返 回 给 客户 


端 。 

作为 一 种 为 网 络 提 供 统 一 标准 登录 系统 的 手段 ，Kerberos 系 统 正 越 
来 越 流行 。Kerberos 4 使 用 DES 加 密 技术 ， 本 章 前 面 已 经 讲 到 ， 许 多 加 
密 领域 的 专家 认为 该 技术 不 够 安全 。Kerberos 5 〈 在 REFC 41201510 中 定 
义 ) 则 支持 AES 和 其 他 加 密 类 型 。 

注意 : 3 个 头 ? 

如 果 您 曾 阅 读 过 有 关 Kerberos 的 叙述 ， 那 么 就 可 能 知道 Kerberos 这 
个 名 称 从 何 而 来 的 规范 描述 。 在 希腊 神话 中 ，Kerberos (也 称 为 
Cerberus) 是 一 头 守 护 冥 府 入 口 的 狗 ， 它 长 有 3 人 个头。 虽然 这 个 名 称 的 原 
始 含 义 是 一 个 小 欣 ， 但 是 现在 ， 这 个 故事 演变 成 了 那 三 个 涉 束 是 
Kerberos 身 份 验证 过 程 的 3 个 要 素 (客户 端 、 服 务 器 和 KDC) 。Kerberos 
系统 最 初 计 划 使 用 身份 验证 、 账 户 管 理 和 审核 这 三 个 涉 ， 守 护 网 络 的 入 
口 ， 但 是 ， 其 中 的 后 两 个 头 〈 账 户 管理 和 审核 ) 从 未 实施 。 安 全 界 很 轻 
易 地 发 现 ， 相 对 于 把 相应 的 协议 重新 命名 为 相当 的 单 头 犬 来 说 ， 例 如 有 灵 
犬 莱 西 (Lassie) 或 雪 机 狗 巴克 (Buck) ， 重 新 调整 那个 暗喻 要 更 加 容 
易 一 些 。 


11.5 小 结 


Internet 上 有 几 百 万 的 用 户 ， 其 中 相当 数量 的 用 户 都 在 身体 力行 地 
搞 一 些 恶 作 剧 。 如 果 你 想 保护 隐私 和 资源 ， 则 在 进行 网 络 保护 时 需要 发 
挥 主观 能 动 性 。 本 章 讲 解 了 一 些 重 要 的 安全 概念 ， 还 讲解 了 防火 墙 和 入 
侵 技 术 等 知识 。 此 外 ， 加 密 技 术 以 及 与 加 密 技 术 相 关 的 某 些 安全 特性 
































(比如 数字 签名 、TLS、IPSec 和 VPN) 也 在 本 章 中 得 以 体现 。 


11.6 问 与 答 


问 : 有 状态 防火 墙 的 好 处 是 什么 ? 

答 : 通过 监视 连接 的 状态 ， 有 状态 防火 墙 可 以 注意 某 些 DoS 攻 击 ， 
以 及 无 效 的 数据 包 和 拦截 陷阱 或 被 操纵 的 会 话 。 

问 : DMZ 的 用 途 是 什么 ? 

答 : DMZ 的 用 途 是 提供 一 个 较为 完全 的 地 带 ， 使 之 比 内 部 网 络 更 
容易 访问 ， 但 又 提供 比 开 放 的 Pnternet 更 多 的 保护 。 


11.7 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问 题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 

11.7.1 问题 


1. 代理 服务 器 如 何 提升 Web 服 务 器 的 啊 应 时 间 ? 

2. 为 什么 要 安装 更 新 ? 

3. Ellen 需 要 找到 一 个 方法 来 让 几 个 传统 的 网 络 应 用 程序 在 
Windows XP 计算 机 上 行 运行 ， 而 且 她 已 经 知道 ， 在 使 用 这 些 应 用 程序 
进行 通信 时 ， 需 要 提供 机 密 性 ， 那 么 ， 她 应 该 使 用 TLS/SSL 还 是 IPSec 
呢 ? 

4. 如 果 入 侵 者 哄骗 Kerberos 客户 端 把 一 个 会 话 票 证 发 送 到 错误 的 
服务 器 ， 则 会 发 生 什么 ? 

11.7.2 练习 


1. 在 你 的 计算 机 上 查找 个 人 防火 墙 配置 页 面 。 在 Windows 7 中 ， 在 
控制 面板 中 查找 Windows 防 火 墙 图 标 。 而 Mac OS 中 ， 选 择 “ 安 全 属性 ”对 
话 框 ， 然 后 选择 “防火 墙 *"。Linux 有 多 个 个 人 防火 墙 选 项 。 在 最 近 版 本 
的 Ubuntu 系统 中 ， 选 择 “ 系 统 ”- “管理 ”… “防火 墙 * 配 置 。 

2. 到 美国 政府 的 网 络 安全 公告 页 面 (http:/www.us- 
cert.gowbulletins) 上 ， 选 择 最 近 一 周 内 的 网 络 安全 漏洞 汇总 。 研 究 其 描 
述 并 在 本 章 但 询 某 些 相 关 的 概念 ， 比 如 绥 冲 区 洪 出 和 拒绝 服务 。 


11.8 关键 术语 








复习 下 列 关 键 术 语 : 

> 高 级 加 密 标准 (Advanced Encryption Standard，AES) : 一 种 
对 称 加 密 算法 ， 支 持 128、192 和 256 位 密 钥 长 度 。 

> 非 对 称 加 密 : 使 用 不 同 密 钥 进行 加 密 和 解密 的 加 密 方法 。 

> 后 门 : 可 以 进入 计算 机 系统 的 一 条 隐藏 的 路 径 。 

> Blowfish: 一 种 对 称 加 密 算法 ， 文 持 最 多 448 位 密 钥 长 度 。 

> 缓冲 区 浇 出 : 一 种 攻击 方法 ， 攻 击 者 向 系统 发 送 恶意 的 命令 ， 
从 而 导致 应 用 程序 的 缓冲 区 超出 限度 。 

> 认证 中 心 (Certificate Authority，CA) : 监视 证 书 创 建 和 递送 
过 程 的 中 央 权 威 。 

> 数据 加 密 标 准 (Data Encryption Standard，DES) : 一 种 曾经 
很 流行 的 对 称 加 密 算 法 ， 但 是 现在 ， 因 为 其 较 短 的 56 位 密 钥 长 度 ， 而 被 
认为 不 够 安全 。 

拒绝 服务 攻击 (Denial of Service，DoS) : 通过 消耗 系统 资源 
来 使 受害 者 的 系统 无 法 提供 正常 服务 的 一 种 攻击 手段 。 

> 数字 证 书 : 一 种 加 密 的 数据 结构 ， 用 来 分 发 公开 密 钥 。 

> 数字 签名 : 用 来 检验 发 送 方 身 份 和 数据 完整 性 的 加 密 字 符 串 。 

> DMZ: 安置 Internet 服 务 器 的 一 个 中 间 地 融 ， 位 于 前 端 防火 墙 之 
后 ， 但 是 在 具有 更 严格 限制 的 后 端 防火 场 〈 用 于 保护 内 部 网 ) 之 前 。 
> 加 密 : 系统 地 修改 数据 的 过 程 ， 使 得 未 授权 的 用 户 无 法 读 取 它 
| 

> 加 密 密 钥 : 和 加 密 算 法 一 起 用 来 加 密 或 解密 数据 的 一 个 值 〈 通 
第 秘密 保管 ) 。 

> 防火 场 : 一 种 用 于 限制 网 络 访问 内 部 网 的 设备 或 应 用 程序 。 

> IPSec〈IP 安 全) : 一 种 由 多 个 IP 协 议 扩 展 组 成 的 安全 协议 系 











统 。 

> KDC ( 密 钥 分 发 中 心 ) : 在 Kerberos 网 络 上 管理 密 钥 分 发 过 程 
的 服务 器 。 

> Kerberos: 一 种 网 络 身 份 验证 系统 ， 用 来 保证 通过 敌意 网 络 访 
问 服务 的 安全 性 。 


> 包 过 小龙: 一 种 防火 增 ， 可 以 通过 端口 号 或 其 他 能 够 标明 包 目 
的 的 协议 信息 过 滤 数 据 包 。 

> 网 络 钓 鱼 : 利用 某 个 伪造 的 链接 、 消 息 或 网 页 来 诱 使 用 户主 动 
连接 到 茶 个 欺诈 网 站 。 

> 私有 密 钥 : 非 对 称 加 密 中 使 用 的 一 种 密 钥 ， 它 被 秘密 保管 ， 并 


且 不 在 网 络 上 分 发 。 
> 代理 服务 器 : 用 于 代表 客户 端 对 服务 发 出 请 求 的 计算 机 或 应 用 





程序 。 
> 公开 密 钥 : 非 对 称 加 密 中 使 用 的 一 种 密 钥 ， 它 在 网 络 上 分 发 。 
> 道 向 代理 : 用 于 接收 来 自 与 Internet 的 入 站 请 求 并 将 这 些 请 求 转 
发 给 内 部 网 服务 句 的 计算 机 或 应 用 程序 。 

> root 访 问 : 计算 机 系统 的 最 高 访问 权 。root 访 问 提 供 对 相应 的 系 
统 几 乎 没有 限制 的 控制 。 
> Rootkit: 入 侵 者 用 来 扩展 和 伪装 其 对 某 一 系统 的 控制 的 一 组 工 


> 脚本 小 子 : 年 轻 旦 通常 处 于 青春 期 的 Internet 入 侵 者 ， 主 要 使 用 
Internet 上 可 以 得 到 的 现成 脚本 和 工具 进行 攻击 。 

> 会 话 动 持 : 一 种 攻击 方法 ， 人 允许 攻击 者 在 现 有 TCP 会 话 中 插入 
恶意 数据 包 。 

> SSL 安全套 接 层 ) : 一 种 最 初 由 Netscape 公 司 开 发 的 安全 协议 
系统 ， 它 在 TCP 协 议 的 上 方 运行 。SSL 已 经 被 TLS 正 式 取代 。 

> 有 状态 防火 墙 : 能 够 感知 连接 状态 的 防火 墙 。 

> 对 称 加 密 加 密 密 钥 和 解密 密 钥 完全 相同 或 相关 的 加 密 方法 。 

> TLS〔 传 输 层 安全 ) : 基于 SSL 的 一 种 安全 的 传输 层 协 议 。 

> 特洛伊 木马 : 一 种 号 称 做 某 一 件 事 ， 但 实际 上 在 后 台 进 行 其 他 
看 不 见 的 恶意 活动 的 程序 。 

> X.509: 一 种 描述 数字 证 书 过 程 和 格式 的 标准 。 














本 章 介 绍 如 下 内 容 : 

> 动态 地 址 分 配 ; 

> DHCP; 

> NAT; 

> 零 配置 。 

在 早期 的 网 络 中 ， 每 一 台 客 户 问 计算 机 都 会 拥有 一 个 静态 的 IP 地 
址 ， 这 个 地 址 被 保存 在 一 个 配置 文件 中 ， 这 就 意味 着 ， 如 果 需 要 更 改 配 
置 ， 系 统管 理 员 就 必须 修改 配置 文件 。 然 而 ， 今 天 的 网 络 需 要 一 种 更 通 
用 和 更 便捷 的 方法 ， 如 今 大 多 数 的 计算 机 都 通过 动态 配置 或 自动 配置 IP 
的 方式 来 运行 。 本 章 将 会 介绍 一 些 常见 的 技术 ， 这 些 技术 用 于 配置 














TCP/IP 网 络 。 
完 学 完 本 章 后 ;你 可 以 : 
> 描述 DHCP 及 其 带 来 的 好 处 ; 
> 描述 通过 DHCP 租 借 IP 地 址 的 过 程 ; 
> 描述 网 络 地 址 转换 的 用 途 ; 
> 理解 计算 机 如 何 使 用 零 配置 协议 。 








前 面 章节 中 讲 到 的 相互 影响 的 协议 很 容易 让 读者 望而却步 ， 但 是 如 
今 的 操作 系统 都 能 够 很 好 地 自动 处 理 其 中 的 细节 。 在 安装 过 程 中 ，TCP 
配置 的 用 户 组 件 可 以 归结 为 几 个 简单 的 选择 。 

尽管 不 同 的 系统 所 采用 的 有 具体 方式 不 同 ， 但 是 我 们 经 常 采用 的 最 基 
本 的 选择 如 下 所 示 : 

> 配置 静态 IP 地 址 ; 

> 配置 计算 机 ， 使 其 通过 DHCP 来 接收 动态 IP 地 址 。 

在 大 多 数 情 况 下 ， 你 需要 提供 一 个 名 称 作为 网 络 中 计算 机 的 识别 符 
(有 关 主 机 名 、 域 名 系统 和 NetBIOS 名 称 解 析 的 更 多 内 容 ， 请 见 第 10 
章 ) 。 

本 章 后 面 将 会 讲 到 ， 即 使 你 的 计算 机 没有 使 用 静态 或 动态 地 址 配置 
成 功 ， 有 些 系 统 仍 然 可 以 通过 零 配 置 技 术 来 执行 基本 的 TCP/IP 连 网 。 零 
配置 技术 在 最 近 几 年 日 渐 流行 。 

系统 安装 好 后 ， 当 在 用 户 界 面 中 单 击 时 ， 每 一 个 操作 系统 的 任何 版 
本 所 需要 的 步骤 都 会 略微 不 同 ， 但 是 所 涉及 的 基本 概念 却 没 有 变化 。 本 
章 将 讲解 如 何在 最 近 的 Windows、Mac OS 和 Ubuntu Linux 系 统 中 配置 
TCP/IP。 有 关 在 系统 中 配置 TCP/IP 的 更 多 细节 ， 请 见 系 统 厂商 提供 的 文 


档 。 

从 概念 层面 上 来 看 ， 静 态 的 TCP/IP 配 置 是 不 言 自 明 的 ， 它 无 非 就 是 
输入 地 址 、 主 机 名 、 子 网 掩 码 和 网 管 路 由 器 。 动 态 地 址 的 配置 就 更 加 容 
易 了 ， 但 是 当 你 告诉 计算 机 “接收 一 个 动态 卫 地 址 ?时 ， 实 际 上 你 是 使 
用 重要 的 动态 主机 配置 协议 (Dynamic Host Configuration Protocol， 
DHCP) 调用 了 一 系列 交互 ， 这 些 交 互 在 幕后 发 生 。 本 章 首 先 讲解 
DHCP。 


12.2 服务 器 提供 耳 地 址 的 情 ; 


每 一 台 计 算 机 都 必须 拥有 一 个 IP 地 址 才能 在 TCP/IP 网 络 上 运行 。IP 














寻 址 系统 最 初 是 为 这 样 的 逻辑 条 件 设 计 的 ， 即 每 一 台 计 算 机 都 已 经 预先 
配置 了 一 个 IP 地 址 。 这 种 情况 被 称 为 静态 IP 寻 址 。 每 一 台 计 算 机 在 启动 
时 就 知道 自己 的 IP 地 址 ， 并 且 能 够 立刻 使 用 网 络 。 静 态 IP 寻 址 在 小 型 网 
络 中 表现 得 很 好 ， 但 是 由 于 大 型 网 络 上 经 常会 出 现 重新 配置 和 更 改 〈 例 
> 
很 多 限制 。 

静态 卫 寻 址 有 如 下 一 些 缺 点 。 

> 更 多 的 配置 工作 : 每 一 个 客户 端 都 必须 单独 配置 ， 更 改 IP 地 址 
空间 或 者 其 他 一 些 参数 〈 例 如 DNS 服务 器 地 址 ) 就 意味 着 每 一 个 客户 端 
都 必须 分 别 重新 配置 。 

> 更 多 的 地 址 : 每 一 台 计 算 机 都 会 使 用 一 个 IP 地 址 ， 无 论 其 当时 
是 否 连 接 在 网 络 上 。 

> 减少 了 灵活 性 : 如 果 一 台 计 算 机 需要 分 配 不 同 的 子 网 ， 束 必须 
手动 重 配 这 人 台 机 器 。 

为 了 应 对 这 些 限制 ， 出 现 了 另 一 种 IP 寻 址 系统 。 在 这 个 系统 中 ， 
会 通过 基于 DHCP 协议 的 请 求 来 分 配 卫 地 址 。DHCP 是 源 自 于 早期 的 
BOOTP 协 议 ， 该 协议 主要 用 于 启动 无 盘 计 算 机 无 盘 计 算 机 在 启动 时 
才 从 网 络 上 接收 整个 操作 系统 ) 由 于 IP 地 址 的 供应 日 益 减 少 ， 大 型 的 动 
态 网 络 日 益 增 长 ，DHCP 最 近 应 用 得 越 来 越 广 泛 。 

实际 上 ， 绝 大 多 数 计 算 机 在 访问 Intemet 时 ， 都 是 通过 DHCP 接 收 配 
置 的 。 将 家 庭 网 络 连接 到 Intemet 上 的 小 型 路 由 器 /防火 墙 实 际 上 都 是 一 
个 DHCP 服 务 器 。 


12.3 什么 是 DHCP 


DHCP 是 一 个 用 来 向 计算 机 分 配 TCP/IP 配 置 参数 的 协议 。DHCP 最 
初 在 RFC 1531 中 定义 ， 随 后 在 RFC 1534、1541、2131 和 2132 中 得 以 更 
新 。DHCP 的 最 新 标准 是 RFC 2131， 它 纳入 了 RFC 3396、4361 和 5494 中 
的 更 新 。DHCP 服 务 器 可 以 为 DHCP 客 户 端 提供 一 组 TCP/IP 设 置 ， 比 如 
IP 地 址 、 子 网 掩 码 和 DNS 服务 器 地 址 。 

因为 DHCP 是 用 来 分 配 IP 地 址 的 ， 所 以 必须 使 用 静态 的 IP 地 址 信息 
来 配置 DHCP 服 务 嚣 。 需 要 在 客户 端 进行 配置 的 唯一 一 个 网 络 参 数 是 将 
客户 端 设置 为 人 DHCP 服务 器 接收 卫 地 址 信息 。 其 他 的 TCP/IP 配置 都 
会 通过 服务 传送 过 来 。 如 果 网 络 上 的 一 些 TCP/IP 配 置 发 生 了 变化 ， 网 络 
管理 员 只 需要 更 新 DHCP 服 务 器 ， 而 不 用 手动 更 新 每 一 台 客 户 端 。 

另外 ， 每 台 客 户 端的 地 址 都 是 有 租 期 限制 的 。 在 租用 到 期 时 ， 如 果 
客户 端 不 再 使 用 这 个 地 址 ， 此 地 址 将 会 被 分 配给 其 他 的 客户 端 。DHCP 

















的 这 种 租用 特性 ， 使 得 网 络 不 必 拥 有 与 客户 端 相同 数量 的 IP 地 址 。 

在 今天 的 网 络 环境 中 ， 由 于 许多 员工 会 在 不 同 的 办 公 地 点 使 用 自己 
的 笔记 本 电脑 ， 因 此 DHCP 显 得 尤其 重要 。 如 果 一 个 笔记 本 电脑 使 用 静 
态 卫 地 址 来 配置 ， 则 每 次 用 户 将 电脑 连 入 另 一 个 不 同 的 网 络 时 ， 就 必须 
重新 进行 配置 。 如 果 计 算 机 被 配置 成 从 DHCP 接收 IP 地 址 ， 只 要 用 户 接 
0 0 3 


12.4 DHCP 如 何 工 作 


当 DHCP 客 户 端 计算 机 启动 时 ，TCP/IP 软 件 将 被 载 入 到 内 存 中 并 开 
始 执 行 相应 的 操作 。 然 而 ， 因 为 这 时 TCP/IP 栈 还 没有 IP 地 址 ， 所 以 无 法 
直接 发 送 或 接收 数据 包 。 计 算 机 只 能 发 送 和 监听 广播 数据 。 这 种 通过 广 
播 进 行 通信 的 功能 正 是 DHCP 进 行 工 作 的 基础 。 从 DHCP 服 务 器 中 租用 
IP 地 址 的 过 程 需要 经 过 4 个 步骤 〈 见 图 12.1) 。 








1. “有 DHCP 服务 器 么 ? ” 






2.“ 这 是 我 的 地 址 。 试 试 我 的 地 址 ” 








3 我 喜欢 这 个 地 址 ” 





4.“ 好 的 ， 暂 时 保留 它 ” 
DHCP 服务 器 


图 12.1 DHCP 服 务 占 问 网 络 客户 端 提供 一 个 IP 地 址 


1. DHCPDISCOVER: DHCP 客 户 端 首先 会 向 UPD 端 口 
687 BOOTP 和 和 DHCP 服务 右 使 用 的 端口 广播 发 送 一 个 数据 包 。 这 个 
数据 包 被 称 为 DHCP DISCOVER 消 息 ， 任 何 收 到 请 求 配置 信息 的 数据 包 
的 DHCP 服 务 器 都 可 以 响应 这 个 请 求 。DHCP DISCOVER 数 据 包 中 包含 
了 很 多 字段 ， 但 是 其 中 重要 的 一 个 是 DHCP 客 户 端的 物理 地 址 。 

2. DHCPOFFER: DHCP 服务 器 会 为 网 络 上 的 客户 端 提供 可 供 租 
用 的 地 址 ，DHCP 服务 的 响应 数据 包 被 称 为 DHCP OFFER， 此 数据 包 会 


通过 广播 发 送 给 发 出 了 DHCP DISCOVER 的 计算 机 。 这 个 广播 会 发 送 到 
UDP 端口 68， 并 且 包 含 了 DHCP 客 户 端的 物理 地 址 。 此 外 ， DHCP 
OFFER 中 还 包含 了 DHCP 服 务 器 的 物理 地 址 和 IP 地 址 ， 以 及 提供 给 
DHCP 客 户 端 的 IP 地 址 和 子 网 掩 码 。 

此 时 ， 如 果 有 多 个 DHCP 服 务 器 可 以 同 DHCP 客 户 端 提供 IP 地 址 ， 
那么 DHCP 客 户 端 就 可 能 收 到 多 个 DHCP OFFER。 在 大 多 数 情 况 下 ， 
DHCP 客户 端 会 接受 第 一 个 到 达 的 DHCP OFFER。 

3. DHCPREQUEST: 客户 端 选 择 了 一 个 OFFER 数 据 包 后 ， 会 构 
建 并 广播 一 个 请 求 数 据 报 。DHCP 请 求 数据 报 中 包含 了 发 送 OFFER 的 服 
务 器 的 IP 地 址 以 及 DHCP 客 户 端的 物理 地 址 。DHCP 请 求 会 执行 两 个 基 
本 任务 。 第 1 个 是 通知 被 选中 的 DHCP 服 务 器 ， 客 户 端 请 求 服务 器 向 它 分 
配 一 个 IP 地 址 (以 及 其 他 配置 设置 ) 。 第 2 个 任务 是 通知 其 他 的 DHCP 服 
务 器 它们 的 OFFER 没 有 被 接受 。 

4. DHCPACK: 对 于 发 出 的 OFFER 被 客户 端 选 中 的 DHCP 服务 
器 ， 在 接收 到 DHCP 请 求 数据 报时 ， 会 构造 整个 租用 过 程 中 的 最 后 一 个 
数据 报 。 这 个 数据 报 被 称 为 DHCP ACK (acknowledge 的 简写 ) 。 
DHCP ACK 中 包含 了 一 个 租用 给 DHCP 客 户 端 的 IP 地址 和 子 网 掩 码 。 另 
外 ， 还 可 以 选择 发 送 DHCP 客 户 问 需要 配置 的 默认 网 关 地 址 、 多 个 DNS 
服务 占 地 址 以 及 一 、 两 个 WINS 服 务 嚣 地址。 除了 IP 地 址 之 外 ，DHCP 客 
户 端 还 可 能 接收 其 他 配置 信息 ， 例 如 NetBIOS 节 点 类 型 (可 以 改变 
NetBIOS 名 称 解 析 的 次 序 ) 。 

DHCP ACK 中 包含 的 另外 3 个 关键 字段 都 是 用 来 表示 时 间 间 隔 的 : 
一 个 字段 表示 租 期 的 长 度 ， 另 外 两 个 时 间 字 段 被 称 为 T1 和 T2， 在 客户 
端 更 新 期 租 期 时 使 用 。 

12.4.1 中 继 代 3 


如 果 DHCP 客 户 端 和 DHCP 服 务 器 都 位 于 同一 个 网 段 内 ， 客 户 端 获 
取 IP 地 址 的 过 程 与 前 面 描述 的 基本 相同 。 但 是 ， 如 果 DHCP 客 户 端 和 
DHCP 服 务 器 位 于 被 一 个 或 多 个 路 由 器 分 隔 开 的 不 同 的 网 段 上 ， 整 个 过 
程 就 会 变 得 更 复杂 一 些 。 路 由 器 通常 是 不 能 将 广播 发 送 到 其 他 网 络 上 
的 。 为 了 使 DHCP 可 以 工作 ， 需 要 有 一 个 中 间 人 来 协助 完成 DHCP 的 处 
理 过 程 。 这 个 中 间 人 是 与 DHCP 客 户 端 在 相同 网 络 中 的 另 一 台 主 机 ( 通 
常 束 是 路 由 右 ) 。 在 任何 情况 下 ， 执 行 这 个 中 间 人 功能 的 过 程 称 为 
BOOTP 中 继 代理 或 者 DHCP 中 继 代 理 。 

中 继 代 理 必须 具有 固定 的 IP 地 址 ， 同 时 还 保存 有 DHCP 服 务 器 的 IP 
地 址 。 因 为 中 继 代理 已 经 拥有 了 也 地址， 所 以 可 以 直接 向 DHCP 服务 
器 发 送 数据 报 ， 或 者 接收 来 自 于 DHCP 服 务 器 的 数据 报 。 由 于 中 继 代 理 









































与 DHCP 客 户 端 位 于 相同 的 网 络 上 ， 也 就 意味 着 它 可 以 通过 广播 与 
DHCP 客 户 端 进行 通信 〈( 见 图 12.2) 。 





209.114.43.97 


< 209.114.43.97 中 继 0 
~ 一 代理 
DHCP 客户 端 


图 12.2 中 继 代理 帮助 客户 端 到 达 本 地 网 段 之 外 的 DHCP 服 务 右 


中 继 代理 会 监听 去 往 UDP 端 口 68 的 广播 ， 当 中 继 代理 检测 到 DHCP 
请 求 时 ， 就 将 这 个 请 求 转 发 给 DHCP 服 务 器 。 当 代理 收 到 DHCP 服 务 器 
的 响应 时 ， 就 将 响应 在 本 地 网 段 上 广播 。 这 个 解释 虽然 省 略 了 一 些 细 
节 ， 但 是 很 好 地 概括 了 中 继 代理 的 基本 工作 过 程 。 

将 DHCP 服 务 器 安放 在 路 由 器 上 的 这 种 流行 做 法 ， 已 经 减少 了 大 多 
数 网 络 上 DHCP 中 继 服 务 的 要 求 。 有 关中 继 代 理 的 细节 ， 请 参阅 RFC 
1542。 


12.4.2 DHCP 时 间 字 段 


DHCP 客 户 端 从 DHCP 服 务 器 租用 IP 地 址 时 会 有 一 个 固定 的 租 期 。 
租 期 的 实际 长 度 通 党 是 在 DHCP 服 务 嚣 配置 的 。 通 过 DHCP ACK 消 息 发 
送 的 T1 和 T2 两 个 时 间 值 被 用 于 租 期 更 新 的 处 理 过 程 。T1 的 值 表示 客户 
端 应 该 在 这 个 时 刻 进行 租 期 的 更 新 。T1 通常 会 被 设置 成 实际 租 期 的 一 
半 。 在 下 面 的 例子 中 ， 假 设 租 期 是 8 天 。 

在 租用 的 第 4 天 ， 客 户 端 会 发 送 一 个 DHCP 请 求 ， 要 求 DHCP 服 务 器 
更 新 自己 IP 地 址 的 租 期 。 假 设 DHCP 服 务 器 在 线 ， 会 使 用 DHCP ACK 来 
更 新 租 期 。 与 前 4 步 描 述 的 DHCP 请 求 和 和 ACK 包 不 同 ， 这 两 个 数据 报 不 
是 广播 发 送 的 ， 而 是 直接 进行 发 送 。 这 时 因为 ， 此 时 的 计算 机 都 拥有 有 
效 的 IP 地 址 。 

如 果 租 期 过 去 了 50% (第 4 天 ) ，DHCP 客 户 端 发 出 了 第 1 次 请 求 ， 














而 此 时 DHCP 服 务 器 恰好 不 可 用 ， 客 户 端 会 等 得 并 在 租 期 到 达 75%〈 即 
第 6 天 ) 时 再 尝试 更 新 租 期 。 如 果 请 求 还 是 失败 ，DHCP 会 在 租 期 的 
87.5%〔 即 第 7 天 〉 进行 第 3 次 请 求 。 到 此 为 止 ，DHCP 客 户 端 已 经 尝试 
这 辣 提 供 租 期 的 DHCP 服 务 器 直接 友 送 了 多 个 请 求 数据 报 。 如 果 在 租 期 
的 87.5% 时 ，DHCP 客 户 并 仍然 没有 更 新 自己 的 租 期 ，T2 时 间 将 派 上 用 
场 。DHCP 客 户 端 会 在 T2 时 间 开 始 辐 网 络 中 的 DHCP 广 播发 送 请 求 。 如 
果 在 租 期 到 达 时 ，DHCP 客 户 端 既 不 能 更 新 自己 的 租 期 也 无 法 从 其 他 的 
DHCP 服务 器 获得 新 的 租 期 ， 客 户 端 必须 停止 使 用 这 个 IP 地 址 ， 进 而 
停止 常规 的 TCP/IP 网 络 操 作 。 


12.5 配置 DHCP 服 务 器 


除了 大 中 型 网 络 的 系统 管理 员外 ， 其 他 人 很 少 有 机 会 能 够 配置 安装 
在 计算 机 上 的 DHCP 服 务 器 。 如 果 需 要 进行 这 项 工作 ， 束 应 该 查阅 其 他 
的 文档 ， 以 便 获 得 比 本 书 更 多 的 配置 信息 。Windows 提 供 了 一 个 基于 
GUI 的 工具 ， 即 DHCP 管 理 器 ， 来 协助 用 户 配 置 DHCP 服 务 器 。 

Linux 系 统 通 过 dhcpd (用 于 提供 DHCP 的 后 台 程 序 ) 来 提供 DHCP 服 
务 。 不 同 的 厂商 提供 了 各 自 的 dhcpd 安 装 指南 。DHCP 的 配置 信息 被 保存 
在 /etc/dhcpd.conf 文 件 中 。 

etc/dhcpd.conf 文件 包含 DHCP 后 从 程序 配置 客户 端 所 需 的 IP 地 址 
配置 信息 。etc/dhcpd.conf 文 件 还 包含 了 其 他 一 些 可 选 的 设置 ， 例 如 广播 
地 址 、 域 名 、DNS 服 务 器 地 址 和 路 由 器 地 址 。 下 面 是 一 个 etc/dhcpd.conf 
文件 的 示例 : 

default-lease-time 600; 

max-lease-time 7200; 

option domain-name "macmillan.com"; 

option subnet-mask 255.255.255.0; 

option broadcast-address 185.142.13.255; 

subnet 185.142.13.0 netmask 255.255.255.0 { 

range 185.142.13.10 185.142.13.50; 

range 185.142.13.100 185.142.13.200; 


} 

本 章 前 面 提 到 ，DHCP 服 务 经 常会 绑 定 到 一 个 网 络 设备 上 ， 例 如 路 
由 器 /防火 墙 。 从 自己 的 路 由 费用 户 手 车 上 可 以 获得 更 多 的 关于 配置 
DHCP 的 信息 。 路 由 器 通 常会 提供 一 个 Web 配 置 界面 ( 见 图 12.3) 。 登 
0 修改 DHCP 配置 。 在 大 多 数 情况 下 ， 无 需 重 新 
配置 DHCP。 
































图 12.3 在 家 用 路 由 器 上 配置 DHCP 


有 些 时 候 ， 可 能 需要 让 某 台 设备 拥有 永久 的 地 址 ， 而 网 络 中 其 他 的 
设备 则 使 用 动态 寻 址 。 例 如 ， 用 户 需 要 使 网 络 打印 机 具有 了 永久 的 地 址 ， 
以 便 使 用 该 打印 机 的 计算 机 没有 必要 重复 获悉 它 的 地 址 。 一 些 路 由 器 所 
供 了 名 为 IP 预 留 的 特性 ， 使 用 户 可 以 将 特定 的 IP 地 址 与 特定 的 物理 
人 





一 些 比较 专业 的 用 户 会 注意 到 ， 如 果 DHCP 服务 器 为 客户 端 提供 了 
一 个 IP 地 址 ， 那 么 这 个 地 址 可 能 不 是 一 个 “公共 的 "、 在 Internet 上 唯一 
的 IP 地 址 。 只 要 路 由 器 自己 具有 在 Internet 上 有 效 的 IP 地 址 ， 那 么 路 由 器 
就 可 以 成 为 网 络 客 户 并 的 代理 ， 从 客户 并 接收 请 求 ， 同 Intemet 地 址 空间 
转发 这 个 请 求 ， 进 而 接收 来 自 于 Intemet 地 址 空间 的 响应 。 许 多 路 由 
器 /DHCP 设 备 都 可 以 提供 名 为 网 络 地 址 转换 (NAT) 的 服务 。 

NAT 设 备 能 够 屏蔽 本 地 网 络 的 所 有 细节 ， 事 实 上 ， 也 能 够 隐蔽 本 地 
网 络 。 图 12.4 所 示 为 一 个 NAT 设 备 。NAT 设 备 可 以 作为 本 地 计算 机 访问 
Intermet 的 网 天 。 在 NAT 设 备 之 后 ， 本 地 网 络 可 以 使 用 任何 网 络 地 址 空 
间 。 当 本 地 计算 机 需要 连接 Intemet 资 源 时 ，NAT 设 备 会 蔡 这 台 计 算 机 进 


行 连接 。 所 有 从 Internet 资源 发 送 来 的 数据 包 都 会 被 转换 成 本 地 网 络 的 
地 址 格式 ， 接 着 航 发 送 给 发 起 连接 的 本 地 计算 机 。 








人 及 大 工大 大 天 式 下 天 研 大 肌 


IP 192.134.24.6 


IP10.0.0.7 


IP10.0.0.3 


图 12.4 NAT 设 备 


由 于 NAT 设备 可 以 阻止 外 部 的 攻击 者 发 现 本 地 网 络 ， 所 以 它 能 够 
提升 网 络 的 安全 性 。 对 外 部 世界 而 言 ，NAT 设 备 看 上 去 就 好 像 是 一 合 单 
独 连接 在 Intemet 上 的 主机 。 即 使 攻击 者 知道 本 地 网 络 上 计算 机 的 地 址 ， 
也 不 能 够 打开 与 本 地 网 络 的 连接 ， 这 是 因为 本 地 网 络 的 寻 址 模式 与 


Internet 地 址 空间 是 不 相关 的 。 在 第 4 章 中 讲 到 ， 少 量 的 IP 地 址 范围 被 留 
给 了 “私有 ”网 络 : 

10.0.0.0 ~ 10.255.255.255 

169.254.0.0 ~ 169.254.255.255 

172.16.0.0~ 172.31.255.255 

192.168.0.0 ~ 192.168.255.255 

在 本 章 后 面 将 会 讲 到 ，169.254.0.0~169.254.255.255 地 址 范围 是 一 个 
不 可 路 由 的 地 址 块 ， 它 主要 用 于 上 自动 配置 的 链 路 本 地 地 址 ，NAT 不 能 使 
用 它 。 

NAT 设 备 通 常 从 这 些 私 有 地 址 范围 来 分 配 IP 地 址 。 这 些 地 址 一 般 意 
义 上 是 不 可 路 由 的 ， 只 能 通过 地 址 转换 来 到 达 NAT 客 户 端 计算 机 。NAT 
也 可 以 减少 各 个 公司 对 Internet 公 共 地 址 的 需求 。 只 有 充当 NAT 设 备 的 路 
由 器 才 需 要 能 够 在 Internet 上 使 用 的 真实 地 址 。 由 于 具有 节省 Internet 地 
址 以 及 私有 网 络 固有 的 安全 性 这 两 大 优点 ，NAT 设 备 在 家 庭 和 企业 网 络 
中 使 用 得 越 来 越 广泛 。 

当然 ， 安 全 性 并 不 是 那么 容易 做 到 的 。 即 使 看 上 去 具有 十 分 坚固 安 
全 性 的 NAT 设备 也 很 可 能 被 突破 。NAT 设 备 有 时 会 提供 通过 Internet 进 
行 管理 的 特性 ， 如 果 不 关 闭 这 些 特性 ， 就 会 带 来 安全 漏洞 。 

随 着 NAT 的 增长 ， 有 更 多 的 攻击 技术 被 开发 出 来 ， 以 企图 绕 过 私有 
网 络 的 天 然 防御 。 攻 击 者 用 来 进入 私有 网 络 内 部 的 一 种 常见 的 方式 是 ， 
让 网 络 中 客户 端 邀 请 攻击 者 进入 私有 网 络 。 入 侵 者 会 发 送 一 个 虚假 的 
Web 页 面 链接 和 一 些 其 他 的 具有 吸引 力 的 内 容 ， 诱 骗 用 户 连接 到 一 个 高 
风险 的 服务 器 系统 。 因 为 这 种 攻击 的 存在 ， 计 算 机 用 户 通常 会 被 告诫 不 
要 点 击 那 些 主动 发 送 来 的 电子 邮件 上 的 链接 。 现 在 的 Web 浏览 器 有 时 能 
够 通过 识别 网 站 脚本 或 者 Web 攻击 方法 来 发 现 攻击 。 

注意 : IPv6 和 NAT 

下 一 代 IPv6 协 议 提供 了 其 他 一 些 链 路 本 地 寻 址 特性 ， 而 且 这 些 特 性 
有 可 能 会 让 当今 网 络 中 使 用 的 NAT 设 备 成 为 多 余 。 有 关 IPv6 的 更 多 细 


节 ， 请 见 第 13 章 。 
12.7 零 配置 


如 果 网 络 中 的 计算 机 都 配置 为 使 用 DHCP， 但 是 所 有 的 DHCP 服 务 
器 都 不 在 线 会 出 现 什么 情况 呢 ? 此 时 ， 客 户 端 计算 机 是 在 线 的 ， 并 一 直 
等 待 着 进行 通信 ， 却 没有 静态 的 卫 地 址 ， 也 无 法 从 DHCP 获得 动态 地 
址 。 另 一 种 情况 下 《尽管 这 种 情况 很 罕见 ) ， 用 户 可 能 需要 设置 一 个 小 
型 的 网 络 工作 组 ， 这 个 工作 组 不 需要 访问 Internet 和 特殊 的 DHCP/ 路 由 设 

















备 ， 应 该 如 何 解决 呢 ? 

一 些 操作 系统 厂商 开发 了 几 种 技术 ， 人 允许 本 地 网 络 上 的 计算 机 在 没 
有 静态 配置 或 基于 DHCP 的 动态 配置 的 情况 下 获得 网 络 连接 。 先 前 的 
LAN 协 议 ， 如 NetBEUI (Windows 系 统 上 ) 和 AppleTalk (Apple 网 络 
上 ) 都 提供 了 这 种 无 需 配 置 的 连接 性 ， 因 此 这 些 三 商 可 以 将 这 些 协议 和 
TCP/IP 一 起 使 用 。 

实现 这 种 方法 的 第 一 步 是 一 个 被 称 为 “ 链 路 本 地 寻 址 ”(IPv4LL ) 的 
概念 。 链 路 本 地 寻 址 从 Mac OS 9 开始 被 引入 了 Apple 的 系统 ， 同 时 从 
Windows 98 开 始 也 被 引入 到 Windows 系 统 中 。 

Microsoft 将 IPvV4LL 的 Windows 版 本 称 为 自动 私有 IP 地 址 寻 址 
CAPIPA) 。 如 果 Windows 计 算 机 没有 静态 IP 地 址 ， 也 无 法 接收 动态 地 
址 ， 就 会 为 自己 分 配 一 个 私有 【不 可 路 由 ) 的 地 址 ， 地 址 范围 从 
169.254.0.0 一 169.254.255.255。 如 果 本 地 网 络 上 的 其 他 计算 机 具有 相同 
的 情况 ， 它 们 也 会 从 这 个 地 址 范围 内 为 自己 分 配 一 个 未 被 使 用 的 人 P 地 
址 。 这 样 ， 这 些 计 算 机 就 可 以 开始 在 本 地 网 络 上 进行 通信 了 了。 当然 ， 由 
于 这 些 地 址 是 不 可 路 由 的 ， 所 以 计算 机 将 不 能 访问 Internet 和 本 地 网 络 之 
外 的 资源 。 

APIPA 的 核心 特点 是 不 需要 进行 配置 ， 因 此 这 里 就 不 用 介绍 如 何 配 
置 它 。 大 多 数 Windows 版 本 都 包含 了 一 个 注册 表 的 键 值 ， 用 来 关闭 
APIPA。 用 户 可 以 查询 Windows 的 文档 获得 这 方面 的 信息 。 

APIPA 可 能 造成 一 些 疑 难 故 障 。 例 如 ， 如 果 网 络 上 的 其 他 计算 机 配 
置 正 常 ， 而 只 有 一 台 计 算 机 无 法 被 访问 ， 可 以 查看 是 否 这 人 台 计 算 机 没有 
找到 DHCP 服 务 器 ， 从 而 自己 配置 了 与 本 地 地 址 空间 不 相 容 的 APIPA 地 
址 。 


一 种 最 新 的 技术 Zeroconf 〈 零 配置 ) ， 能 够 提供 更 强大 的 和 完 
整 的 无 配置 环境 。Zeroconf 扩展 了 IPv4LL 的 体系 ， 为 小 型 本 地 网 络 提 
供 了 更 完整 的 网 络 连接 环境 。Zeroconf 系 统 是 在 Apple 的 Macintosh 系 统 
下 的 Bonjour 中 实现 的 。 新 近 的 Windows 系 统 版 本 也 通过 使 用 一 个 不 同 的 
协议 系统 提供 了 与 零 配置 技术 相似 的 功能 。Linux 和 UNIX 系统 的 
Zeroconf 实 现 与 Apple 的 版 本 相似 。 
这 种 新 的 零 配 置 环境 有 3 个 重要 的 部 分 。 
> 链 路 本 地 寻 址 : 计算 机 为 自己 配置 私有 的 IP 地址 ， 地 址 范围 是 
169.254.0.0~169.254.255.255。 
> 多 播 DNS: 无 需 服务 器 或 预先 配置 的 主机 文件 进行 DNS 名 称 解 
析 。 将 名 称 解 析 成 IP 地 址 (或 者 将 IP 地 址 解析 成 名 称 ) 是 通过 查询 特定 
IP 地 址 和 端口 号 完成 的 。 其 他 设备 监听 发 回 这 个 地 址 的 请 求 ， 进 而 做 出 
相应 的 啊 应 。 























> DNS 服务 发 现 : 客户 端 用 来 找到 网 络 上 可 用 服务 的 一 种 方法 。 

这 些 组 件 之 间 的 相互 影响 创造 了 一 种 环境 ， 使 计算 机 可 以 无 需 预先 
配置 TCP/PP 就 能 够 启动 ， 接 收 本 地 兼容 的 不 可 路 由 的 卫 地 址 ， 将 它 的 
主机 名 注册 到 本 地 网 络 中 的 其 他 计算 机 上 ， 通 过 类 似 于 网 络 邻居 而 且 具 
有 点 选 类 型 的 文件 浏览 器 来 浏览 可 用 的 网 络 服务 《例如 文件 和 打印 服务 
BR. 

当 Apple 发 现 需要 为 简单 易 用 的 AppleTalk 网 络 环境 寻找 一 种 等 效 于 
DNS 的 技术 ， 而 且 该 技术 可 以 提供 零 配 置 方法 来 浏览 和 访问 网 络 服务 和 
设备 时 ， 他 们 开始 围绕 多 播 DNS 和 DNS 服务 发 现 开发 技术 。 这 些 增强 的 
DNS 服务 协同 工作 ， 为 查看 本 地 网 络 提供 了 便利 ， 但 是 ， 需 要 注意 的 
是 ， 对 大 型 网 络 而 言 ， 这 些 技术 的 扩展 性 并 不 好 ， 它 们 只 能 用 于 单个 
LAN 网 络 中 的 小 型 网 络 。 

支持 多 播 DNS (mDNS) 的 计算 机 存储 着 它 自 己 的 DNS 资源 记录 
的 内 部 表 ， 并 使 用 该 表格 将 名 称 解析 为 IP 地 址 。 在 图 12.5 中 ， 如 果 计 算 
机 遇 到 了 一 个 不 属于 上 述 表 中 的 名 称 ， 它 发 送 一 条 消息 到 多 播 地 址 
224.0.0.251。 文 持 多 播 DNS 的 其 他 计算 机 被 配置 为 在 该 地 址 上 监听 DNS 
0 
映射 。 

























内 部 DNS 表 


Curly 218.132.140.16 
Moe 218.132.140.18 
Larry 218.132.140.19 





图 12.5 在 多 播 DNS 中 ， 每 一 台 计 算 机 都 存储 着 它 目 己 的 DNS 表 【在 
真实 的 环境 中 ， 除 了 基本 的 名 称 到 IP 地 址 的 映射 之 外 ， 计 算 机 还 传递 
和 保存 其 他 DNS 信息 ) 


DNS 服务 发 现 (DNS-SD) 提供 了 一 种 方法 ， 可 以 让 计算 机 和 设备 
通过 DNS 来 通告 它们 的 服务 。 许 多 新 出 现 的 小 玩意 儿 对 DNS 服务 发 现 
有 很 强 的 依赖 性 ， 而 且 许 多 其 他 类 似 的 技术 也 可 以 使 得 在 不 需要 对 设备 
进行 预先 配置 的 情况 下 ， 就 能 让 设备 迅速 上 线 使 用 ， 并 发 现 诸 如 打印 
机 、 音 乐 播放 器 等 这 样 的 服务 。 

DNS-SD 依 赖 于 对 SRV 资 源 记 录 的 查询 ， 后 者 可 以 识别 域内 提供 的 
服务 。 例 如 ， 在 传统 的 DNS 网 络 中 ， 某 一 个 域 SRV 记 录 可 能 存放 着 FTP 
服务 器 或 活动 域 控制 器 的 主机 名 和 端口 号 。DNS-SD 将 该 新 性 能 进行 了 
扩展 ， 使 其 可 以 应 用 到 更 小 的 范围 ， 并 使 用 其 他 记录 类 型 来 完成 该 过 
程 。 首 先 ，DNS PTR 指 针 记 录 的 一 个 变 体 (variation) (用 于 逆 疝 查 
询 ) 指向 网 络 中 运行 的 一 个 可 用 服务 实例 。 该 查询 可 能 会 返回 如 下 信 








> 实例 : 服务 的 一 个 特定 实例 (可 能 存在 同一 个 网 络 中 的 多 台 服 
务 器 提供 相同 服务 的 情况 〉。 

> 服务 : 服务 的 名 称 (DNS-SD 服 务 类 型 的 主 注册 表 保 存在 
http://www.dns-sd.org 上 ) 。 

> 域 : 服务 所 在 的 域 。 

通过 组 合 对 这 个 查询 的 响应 信息 ，DNS-SD 客户 端 创建 了 一 个 网 络 
上 可 用 服务 和 服务 实例 的 浏览 列表 。 

当 用 户 或 客户 端 应 用 程序 在 这 个 浏览 列表 中 选择 一 个 特定 的 服务 实 
例 ， 对 相关 SRV 记录 的 一 个 DNS 查询 将 返回 主机 名 和 端口 号 ， 以 用 于 
避 网 络 中 的 服务 。 DNS-SD 还 是 用 TXT 资源 记录 来 返回 服务 相关 的 其 

DNS 服务 发 现 用 于 与 多 播 DNS 协同 工作 ， 以 提供 一 个 完整 的 零 配 
置 DNS 环境 ， 但 是 DNS-SD 也 可 以 与 传统 的 DNS 服务 〈 仅 有 最 少 的 初步 
配置 ) 一 起 工作 。 

Microsoft 定义 了 另外 一 种 多 播 DNS 协议 ， 名 为 链 路 本 地 多 播 名 称 
解析 (Link-Local Multicast Name Resolution，LLNR) 。Microsoft 的 简 
单 服 务 发 现 协 议 〈Simple Service Discovery Protocol，SSDP) 提供 了 服 
务 发 现 功能 。SSDP 基 于 HTTP 而 不 是 传统 的 DNS， 这 与 人 们 日 渐 重 视 基 
于 URL 的 服务 相 吻 合 ， 但 是 却 与 传统 的 DNS 基础 设施 形成 了 间断 。 提 
供 了 与 DNS-SD 相 似 的 服务 浏览 基础 设施 的 通用 即 插 即 用 CuPnP) 协议 
系统 就 是 依赖 于 SSDP 的 。 

Microsoft、Apple 和 其 他 厂商 共同 参与 了 一 个 零 配 置 TCP/IP 联 网 论 
坛 ， 但 是 很 多 用 户 使 用 的 系统 还 是 存在 细微 的 差别 。 最 大 的 不 同 点 是 服 
务 发 现 协议 。 

此 外 ， 还 有 另 一 种 的 服务 发 现 协议 














Service Location 





Protocol (SLP) ， 被 广泛 应 用 于 HP 的 打印 机 和 其 他 许多 设备 上 。 

零 配 置 协议 出 现在 多 个 RFC 中 ， 另 外 还 有 一 个 在 IPv6 中 建立 的 并 行 
系统 。 有 无 疑问 ， 在 未 来 的 几 年 中 ， 堆 配置 技术 会 引起 更 多 的 重视 。 

注意 : 零 配 置 协议 

正 是 因为 主要 的 操作 系统 厂商 都 支持 特定 的 协议 ， 所 以 也 就 意味 着 
在 操作 系统 上 不 只 有 一 种 选择 。 应 用 程序 的 开发 者 可 以 自由 选择 他 们 想 
要 使 用 的 协议 。Apple 甚 至 开发 了 一 个 用 于 Windows 的 Bonjour Zeroconf 


ES 


12.8 配 首 TCP/IP 


本 章 已 经 讲 到 ， 当 代 的 大 多 数 计算 机 几乎 不 需要 进行 网 络 配置 ， 而 
且 大 多 数 所 需 i 要 的 步 又 部 古 在 安 沁 期 间或 者 是 芥 党 类 型 的 首次 启动 * 配 
置 癌 导 中 完成 的 。 只 要 你 输入 了 计算 机 名 称 ， 并 指明 计算 机 使 用 的 是 静 
态 地 址 还 是 动态 地 址 ， 其 余 的 事情 将 有 操作 系统 来 处 理 。 然而 ， 有 时 你 

要 检查 网 络 设计 ， 或 者 是 在 计算 机 运行 之 后 ， 需 要 更 改 其 配置 选项 。 

下 面 的 小 节 将 介绍 如 何在 Windows、Mac OS 和 Ubuntu Linux 系 统 上 找到 
TCP/IP 配 置 设置 。 

有 关 如 何在 上 面 提 到 的 3 种 操作 系统 中 配置 网 络 连 接 以 及 排 错 的 内 
容 可 以 很 容易 就 填 满 一 本 书 ， 下 面 的 小 节 并 非 用 作 网 络 连 接 的 完全 配置 
手册 和 排 错 指南 ， 而 只 是 为 基本 的 配置 环境 提供 一 个 概要 ， 并 演示 GUI 
如 何 充当 管理 底层 网 络 协议 设置 的 窗口 。 有 关 在 这 些 系统 上 进行 网 络 配 
置 的 具体 细节 ， 请 见 厂 商 提 供 的 文档 ， 或 是 查询 在 线 文 档 。 


12.8.1 Windows 


Windows 的 网 络 设置 存储 在 Windows 注 册 表 中 ， 如 果 你 不 确定 在 做 
什么 的 话 ， 最 好 不 要 随意 修改 注册 表 ， 人 否则 将 会 带 来 危险 。 在 Windows 
中 配置 网 络 的 首选 方法 是 通过 GUI 工具 提供 的 Windows 用 户 界 面 来 配 
置 。 在 Windows 的 众多 情况 下 ， 通 过 多 个 点 选 步骤 即 可 打开 各 种 对 话 
框 。Windows 7 和 Windows Vista 都 是 通过 名 为 网 络 和 共享 中 心 的 工具 来 
管理 网 络 配置 。 要 进入 网 络 和 共享 中 心 ， 单 击 Windows 的 开始 按钮 ， 然 
后 选择 控制 面板 。 在 控制 面板 的 主 视 图 中 ， 选 择 网 络 和 JInternet， 然 后 单 
击 网 络 和 共享 中 心 链 接 。 

网 络 和 共享 中 心 在 窗口 的 顶部 显示 当前 的 网 络 连 接 ， 其 配置 选项 位 
于 左 侧 。Windows Vista 版 本 还 包含 当前 共享 和 发 现 设置 的 一 个 汇总 〈 见 
默认 的 Windows 7 配置 删除 了 共享 和 发 现汇 总 ， 以 提供 其 他 
配置 选项 
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图 12.6 Windows 网 络 和 共享 中 心 


Windows 将 每 一 个 预先 配置 的 连接 当做 一 个 单独 的 逻辑 实体 。 要 得 
看 当前 的 配置 连接 ， 在 Vista 版 本 中 选择 管理 网 络 连 接 ， 或 者 在 Windows 
7 中 选择 更 改 适 配器 设置 。 无 论 哪 种 情况 ， 你 会 看 到 多 个 用 于 与 本 地 网 
络 、 无 线 网 络 等 相连 接 的 图 标 。 右 键 单 击 这 些 图 标 ， 然 后 选择 属性 来 查 
看 连接 属性 对 话 框 〈 见 图 12.7) 。 

在 图 12.7 中 可 以 看 到 ， 连 接 属 性 对 话 框 列 出 了 一 些 当 前 安装 在 网 络 
配置 中 的 条 目 。 术 语 “ 条 目 (item) ”看 起 来 似乎 没有 必要 这 么 含糊 ， 但 
是 本 书 读者 很 快 就 会 注意 到 ， 这 些 条 目 实 际 上 是 TCP/IP 网 络 栈 的 可 选 组 
件 。 位 于 顶部 的 条 上 日 (图 12.7 中 的 前 3 个 条 上 日 ) 是 网 络 客户 端 和 对 应 于 
TCP/IP 应 用 层 的 服务 组 件 。 

要 查看 当前 的 TCP/IP 配 置 (假定 你 的 计算 机 与 大 多 数 的 计算 机 相 
同 ， 都 是 使 用 的 IPv4) ， 选 择 名 为 Internet Protocol Version 
4 (CTCP/IPv4) 的 组 件 ， 然 后 单 击 属 性 按钮 。 
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图 12.7 连接 属性 对 话 框 


在 IPv4 属 性 对 话 框 中 《〈 见 图 12.8) ， 你 可 以 进行 基本 选择 ， 比 如 连 
接 是 否 应 该 接收 一 个 由 DCHP 上 自动 分 配 的 IP 地 址 ， 还 是 配置 一 个 静态 的 
TCP/IP 连 接 。 如 果 你 的 计算 机 被 设置 为 接收 动态 地 址 。 而 且 它 已 经 在 工 
作 之 中 ， 则 只 需 保 持 该 设置 不 变 即 可 。 如 果 你 想 手 动 配置 网 络 ， 单 击 
Use the following IP address 单 选 杠 ， 然 后 输入 地 址 、 子 网 掩 码 和 默认 网 
关 〔 访 地址 信息 必须 与 你 的 网 络 一 致 。 有 关 IP 地 址 和 子 网 掩 码 的 更 多 信 
恩 ， 请 见 第 4 音 和 第 5 章 ) 。 














Internet Protocol Version 4 (TCP/IPvA) Properties [2? Em 
General 
You can oet JP settings assioned automatcaly if your Network Supports 


this capabiity, Otherwise, you need to ask your network administrator 
for he appropriate IP settings. 


Obtan an IP address sutomatcaly 


人 Use the folowng IP address 


IP address: 212 . 100 , 1556 . 18 
Subnet mask: dc 。 dS .A933 ,0 
Default gateway: a2 .0 .1.4 


人 Use the folowng DNS server addresses: 
Preferred DNS server: 12 . 100 , 156 ， 11d 


Alternate DNS server: 








图 12.8 在 Windows 中 配置 IPv4 属 性 


单 击 Advanced 按钮 〈 见 图 12.8) 后 ， 会 弹出 其 他 对 话 框 ， 以 让 用 
户 手 动 配置 DNS 和 WINS 名 称 服务 选项 〈 见 第 10 章 ) 。 

将 网 络 连接 视 为 独立 的 逻辑 实体 的 好 处 是 ， 你 可 以 针对 不 同 的 情况 
设置 不 同 的 连接 。 如 果 你 的 计算 机 只 是 充当 一 台 普 通 的 DHCP 客户 端 ， 
也 就 不 要 这 么 麻烦 。 你 只 需要 将 它 接 入 到 网 络 中 ， 它 就 会 找到 一 个 配 
置 。 如 果 你 有 一 台 便 携 式 计算 机 ， 需 要 在 具有 不 同 配置 的 两 个 不 同 网 络 
(比如 ， 一 个 使 用 DHCP， 男 外 一 个 使 用 静态 配置 ) 中移动， 你 就 需要 
为 不 同 的 位 置 创 建 不 同 的 连接 。 为 了 建立 一 个 新 的 连接 ， 或 者 是 定义 一 
个 新 的 网 络 ， 在 网 络 和 共享 中 心中 选择 建立 一 个 新 连接 或 网 络 ， 将 打开 
一 个 窗口 ， 让 用 户 选 择 启 动 一 个 向 导 ， 以 建 六 LAN、 无 线 、 拨 号 或 VPN 
连接 。 无 论 哪 一 种 情况 ， 计 算 机 都 会 寻找 未 定义 的 可 用 网 络 连接 ， 以 便 
选择 可 用 的 网 络 或 设备 。 

在 前 面 的 章节 中 已 经 学 习 到 ， 从 网 络 访问 层 之 上 看 起 ， 无 线 网 络 与 
其 他 形式 的 TCP/IP 网 络 并 无 不 同 ， 但 是 ， 当 你 配置 和 访问 无 线 网 络 
时 ， 由 于 其 本 身 具 有 的 特性 ， 因 此 与 其 他 网 络 相 比 会 有 一 些 不 同 。 

具有 无 线 硬件 的 Windows 系统 通常 会 自动 配置 无 线 网 络 。 但 是 ， 

















取决 于 你 的 配置 ， 在 启动 时 ， 你 的 系统 可 能 不 会 自动 打开 一 个 无 线 网 络 
连接 。 要 查看 可 用 的 无 线 网 络 ， 单 击 屏 幕 右 下 角 的 无 线 图 标 〈 用 几 条 柱 
状 条 形成 了 一 个 三 角形 状 ， 见 图 12.9) ， 将 会 出 现 一 个 可 用 的 网 络 列 

表 。 从 中 选择 一 个 网 络 ， 然 后 单 击 连接 按钮 。 要 开始 这 个 连接 ， 你 必须 
提供 所 需要 的 安全 信息 ， 比 如 服务 集 识 别 符 〈SSID) 。 





在 Windows 7 中 ， 你 可 以 使 用 多 个 用 于 特定 无 线 网 络 的 配置 设置 来 
建立 一 个 网 络 配置 文件 。Windows 7 中 的 网 络 和 共享 中 心 提 供 了 一 个 无 
线 网 络 管理 选项 。 在 管理 无 线 网 络 窗口 中 ， 单 击 Add 按 钮 ， 定 义 用 来 手 
动 连接 到 无 线 网 络 的 设置 〈 见 图 12.10) 。 
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图 12.10 将 Windows 连接 到 无 线 网 络 


12.8.2 Mac OS 


与 Windows 一 样 ，Mac OS 也 可 以 发 现 可 用 的 有 线 〈 或 无 线 ) 网 络 ， 
而 且 如 果 它 被 配置 为 使 用 DHCP 的 话 ， 就 可 以 连接 到 网 络 。 为 了 进行 网 
络 配置 ， 在 Apple 菜单 中 选择 System Preference， 然 后 选择 Network 图 
标 。 在 Mac OS 中 ，Network Preferences 窗 口 〈 见 图 12.11) 是 配置 
TCP/IP 的 地 方 。 在 左 侧 的 网 络 列表 中 ， 选 择 Ethernet， 以 访问 用 于 传统 
有 线 LAN 的 设置 ， 而 AirPort 则 是 用 于 无 线 网 络 的 连接 。 

在 以 太 网 配置 窗口 中 ， 下 拉 Configure 荣 单列 表 〈 来 选择 DHCP 或 手 
动 配置 选项 ， 见 图 12.11) 。 如 果 选 择 的 是 手动 配置 ， 则 输入 地 址 、 子 
人 路 由 器 地 址 (网关) ， 以 及 DNS 服务 器 。 单 击 Apply 按 钮 来 保 
子 6 




















Erhernet is corrently active and has the IP 
2ddress 192.168.1.7. 
Configure: | Using DHCP 习 
© FireWire PAddress: 192.168.1.7 
Wot Counmer ted 
Subnet Mask: 255.255.255.0 
Router: 192.168.1.1 
DNS Server: 192.168.1.1 
Search Domajns: 


rp @ 
i 
Cilck the tock to prevent further changes. Revert Apply 









图 12.11 在 Mac OS 中 配置 TCP/IP 设 置 


在 AirPort 配 置 对 话 框 中 〈 见 图 12.12) ， 单 击 右 上 角 的 按钮 来 启用 
或 关闭 无 线 网 络 连 接 。 在 Network Name 下 拉 列 表 中 ， 选 择 想 要 连接 的 可 
用 网 络 。 你 也 可 以 选择 加 入 一 个 指定 的 网 络 ， 但 是 你 必须 提供 密码 、 
SSID， 以 及 前 天 安全 信息 。Create a Network 选 项 可 以 让 你 与 其 他 无 线 
计算 机 或 设备 一 起 建立 一 个 ad hoc 网 络 。 





Location: | Automatic 





Crp 机 
© 这 Status: Connected 人 Turn AirPort Of ) 
AirPort Is ee to Barker and has the IP 


address 192.168.1 
® Connected 


9 1 1 Network Name: (ker 网 


@ FireWire WA Ask to join new networks 
oe Known networks will be joired automatically. 
Hf no known networks are avaiable, you will 
be asked be joiolng a new network, 


rr em MShow AirPort status in mmenu bar @ 





i 
od Click the lock to prevent further changes. ( Assist me ) Revert Apply 


图 12.12 配置 AirPort (Apple 为 无 线 网 络 连接 所 起 的 一 个 爱 称 


Mac OS 还 提供 了 一 个 便捷 的 易于 访问 的 工具 条 栏 图 标 ， 以 用 于 选 
择 无 线 网 络 或 启动 其 他 配置 选项 。 


12.8.3 Linux 


Ubuntu 是 一 款 基 于 Debian Linux 发 行 版 的 流行 Linux 版 本 。Ubuntu 开 
发 人 员 最 近 将 昌 面 系统 从 Gnome 昌 面 变 更 为 新 的 Unity 昌 面 ， 后 则 更 改 
了 一 些 配 置信 息 ， 但 是 两 者 之 间 的 概念 相似 。 

与 Window 和 Mac OS 一 样 ，Ubuntu 在 工具 栏 中 有 一 个 很 小 的 图 标 ， 
用 来 快速 访问 网 络 信 息 〈 见 图 12.13) 。 单 击 图 标的 上 /下 箭头 可 以 查看 
可 用 的 网 络 选项 。 选 择 Edit Connections 进 入 Network Connections 窗 口 

〈( 见 图 12.14) 。 注 意 ， 有 多 个 选项 卡 可 以 让 你 查看 有 线 、 无 线 、DSL 和 
移动 宽带 连接 的 信息 。 为 了 添加 一 个 连接 ， 选 择 需 要 添加 的 连接 类 型 
然后 单 击 Add 按 钮 。 
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图 12.13 通过 Ubuntu 11.04 工 具 栏 来 添加 并 访问 连接 








Network Connections 





Wired 





Wireless Mobile Broadband VPN DSL 


Name Last Used Add 


Autoetho OW 
人 





图 12.14 Ubuntu Network Connections 窗 口 


Edit Connection 对 话 框 提供 了 用 于 输入 MAC (物理 ) 地 址 以 及 IPv4 
和 IPv6 配 置 设置 的 选项 卡 。 在 IPv4 Settings 选 项 卡 中 ( 见 图 12.15) ， 
可 以 选择 DHCP 或 手动 配置 。 如 果 选 择 Manual， 则 需要 输入 地 址 、 掩 码 


和 网 管 信息 。 
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图 12.15 Ubuntu Edit Conn ection 对 话 框 中 的 IPv4 Settings 选 项 卡 


如 果 单 击 Network Connections 窗 口中 的 Wireless 选 项 卡 ， 然 后 单 击 
Add 按 钮 后 ， 进 入 到 一 个 对 话 框 ， 可 以 在 其 中 输入 SSID 和 无 线 安 全 设 
置 ， 以 及 IP 地 址 配置 信息 。 

Network Tools 应 用 程序 提供 了 快速 查看 当前 TCP/IP 配 置 的 功能 ， 并 
可 以 用 作 启 动 某 些 网 络 诊断 工具 (第 14 章 将 讲 到 ) 的 接口 ， 比 如 ping、 
traceroute 和 netstat。 要 使 用 Network Tools 应 用 程序 ， 先 单 击 左上 角 的 
Ubuntu 图 标 ， 然 后 选择 More Apps， 再 在 Display More Apps 的 Installed 区 
域 中 单 击 Linux， 然 后 找到 Network Tools 应 用 程序 ， 并 单 击 。 

Network Tools 和 窗口 ( 见 图 12.16) 显示 了 当前 的 IP 配置。 在 Network 


device 的 下 拉 某 单 中 选择 Ethernet Interface。IPv4 地 址 、IPv6 地 址 、 网 络 
掩 码 和 其 他 设置 将 出 现在 窗口 中 。 
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Devices Ping Netstat Tracefoute Port Scan Lookup Finger Whois 
Network device 辑 Ethernet Interface (etho) = xX Configure 
iP information 
Protocol IPAddress Netmask / Prefix Broadcast Scope 
IPv6 fe80.'219.d1fF.fe72:9b32 64 Link 
ipv4 10.0.0.141 255.255.255.0 

Interface Information Interface Statistics 
Hardware address: 00:19:d1:72;9b:32 Transmitted bytes 397.2 KiB 
Mutlticast: Enabled Wansmitted Packets 3082 
MTU: 1500 Transmission errors: 0 
Link speed: not availabie Received bytes 3.5 MiB 
State: Active Received packets: 3795 
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图 12.16 在 Ubuntu Network Tools 窗 口 查 看 当前 的 地 址 信息 


Linux 的 天 性 是 ， 如 果 你 使 用 的 是 不 同 的 Linux 版 本 (哪怕 是 Ubuntu 
的 早期 版 本 ) ， 则 配置 对 话 框 看 起 来 也 有 很 大 的 差别 。 然 而 ， 所 有 这 些 
对 话 框 实际 上 就 是 作为 GUI 界面 ， 来 访问 网 络 配置 文件 。 其 中 一 个 很 
重要 的 文件 是 /etc/network/interfaces 文 件 ， 它 存储 了 IP 地 址 信息 和 其 他 重 
要 的 设置 。 

在 /etc/network/interfaces 文 件 内 ，eth0 接 口 (第 一 个 以 太 网 卡 ) 的 一 
个 静态 地 址 配置 的 定义 如 下 所 示 : 

iface eth0 inet static 

address 203.121.14.13 

netmask 255.255.255.0 

gateway 203.121.14.1 

针对 DHCP 而 配置 的 网 络 接 口 ， 其 /etc/network/interfaces 条 目 如 下 所 





auth eth0 
iface eth0 inet dhcp 


/etc/network/inferfaces 文件 也 能 包含 用 于 定义 配置 的 其 他 设置 ， 具 
体 可 参见 Linux 文 档 。 

与 Windows 和 Mac OS 不 同 的 是 ， 命 令 行 在 Linux 中 得 到 了 很 到 的 应 
es 《将 在 第 14 章 讲解 ) 来 配置 和 排 错 网 
络 设置 。 

由 于 在 开源 系统 中 工作 时 ， 存 在 很 复杂 情况 ， 同 时 为 了 及 时 获取 硬 
件 驱 动 程序 的 信息 ， 有 时 需要 对 于 无 线 网 络 进行 排 错 。 如 采 使 用 的 
Ubuntu ， 请 参见 Ubuntu 无 线 排 错 指 南 

(https://help.ubuntu.com/community/WifiDocs/WirelessTroubleShootingGu 
你 还 可 以 通过 Linux 无 线 项 目 〈Linux Wireless Project) 来 获得 Linux 无 
线 网 络 的 通用 信息 (http:VWlinuxwireless.org/) 。 


12.9 小 结 


本 章 首 先 讨 论 了 DHCP 协 议 ， 它 为 配置 卫 地 址 和 其 他 设置 提供 了 一 
种 比较 容易 的 方法 。DHCP 服 务 器 为 DHCP 客 户 端 提 供 了 一 个 IP 地 址 
(有 时 还 会 提供 其 他 配置 信息 ) 。DCHP 现 在 相当 长 剑 ， 以 至 于 它 成 为 
大 多 数 TCP/IP 网 络 的 正常 操作 模式 。 当 配置 计算 机 ， 使 其 接收 动态 卫 
地 址 时 ， 可 以 将 其 配置 为 DHCP 客 户 端 。 

本 章 还 讲解 了 NAT 和 有 零 配 置 协议 ， 最 后 通过 几 个 例子 讲解 了 如 何 
在 典型 的 Windows、Mac OS 和 Linux 系 统 中 配置 TCP/IP。 


12.10 问 与 答 
可 : 在 DHCP 客 户 端 首 次 局 动 时 ， 是 如 何 与 DHCP 服 务 器 进行 通信 




















的 ? 

答 : 通过 广播 数据 包 和 接收 广播 数据 包 。 

问 : NAT 是 如 何 提高 安全 性 的 ? 

答 : 因为 NAT 地 址 是 不 连续 的 和 不 可 路 由 的 ， 外 部 攻击 者 无 法 与 
本 地 网 络 通 信 。 注 意 ， 这 个 重要 的 特性 并 不 能 保证 网 络 的 安全 性 。 攻 击 
者 还 可 以 通过 其 他 技术 对 NAT 网 络 进行 访问 。 


12.11 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 则 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 则 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问 题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 


12.11.1 问题 


1. 为 了 让 某 个 网 络 上 的 DHCP 客户 问 租 用 另外 一 个 网 络 上 DHCP 
服务 器 提供 的 耳 地址 ， 需 要 做 些 什 么 ? 

2. DNS-SD 主 要 依赖 于 哪个 DNS 记录 ? 

12.11.2 练习 

如 果 你 的 计算 机 不 能 连接 到 网 络 ， 一 个 和 常见 的 解决 办 法 是 更 新 
DHCP 租 期 。 如 果 你 有 一 台 Mac， 而 且 系 统 使 用 的 是 DHCP， 在 Apple 下 
拉 亲 单 中 选择 System Preferences。 在 System Preferences 窗 口中 ， 打 开 
Network 应 用 程序 。 如 果 你 使 用 的 是 基于 LAN 的 有 线 以 太 网 络 连接 ， 则 
选择 Ethernet， 如 果 使 用 的 是 无 线 网 络 连 接 ， 则 选择 AirPort。 

当前 的 IP 地 址 将 显示 在 窗口 中 。 现 在 单 击 Advanced 选 项 卡 。 在 
Advanced Network 窗 口中 ， 确 保 顶 端的 TCP/P 被 选中 ， 然 后 单 击 Renew 
DHCP Lease 按 钮 。 你 的 计算 机 将 释放 它 的 IP 地 址 配置 ， 然 后 从 DHCP 服 
务 器 中 接收 一 个 新 的 地 址 (取决 于 你 的 DHCP 服 务 器 及 其 配置 方式 ， 这 
个 新 地 址 可 能 与 旧地 址 相同 〉》。 

为 了 在 Windows 中 进行 该 练习 ， 你 需要 获得 管理 员 权 限 。 在 
Accessories 菜单 中 石 键 单 击 命令 提示 符 图 标 ， 然 后 选择 Run as 
Administrator。 你 需要 输入 密码 ， 如 果 你 以 管理 员 身 份 登录 成 功 ， 则 可 
以 展开 行动 。 

打开 命令 行 窗 口 ， 针 对 当前 的 IP 地 址 输入 下 面 的 命令 : 

ipconfig 

现在 输入 如 下 命令 ， 来 释放 JP 地址 : 


ipconfig /release 














再 次 输入 下 述 命令 : 
ipconfig 


应 该 可 以 看 到 ，IPv4 地 址 已 经 不 存在 。 现 在 输入 如 下 命令 来 更 新 地 
as 

ipconfig/renew 

它 将 显示 你 的 地 址 已 经 恢复 。 

有 关 ipconfig 和 其 他 排 错 配 置 以 及 命令 将 在 第 14 章 详细 介绍 。 


12.12 关键 术语 
复习 下 列 关 键 术语 : 


> 自动 私有 IP 寻 址 (Automatic Private Addressing，APIPA) : 
Microsoft 一 些 系统 中 使 用 的 一 种 链 路 本 地 寻 址 技术 。 








> BOOTP: 主要 用 来 为 无 盘 客户 端 分 配 地 址 的 一 种 协议 。 

> DHCP: 动态 主机 配置 协议 ， 用 于 提供 动态 IP 地 址 分 配 的 协议 。 

> DHCP 客 户 端 : 通过 DHCP 来 接收 动态 IP 地 址 的 计算 机 。 

> DHCP 服 务 器 : 通过 DHCP 将 TCP/IP 配 置 参 数 传输 给 客户 端 计算 
机 的 一 台 计 算 机 。 
i 人 DNS 服务 发 现 。 客 户 端 在 零 配置 网 络 上 获悉 服务 的 一 
种 方式 。 

> 链 路 本 地 寻 址 : 一 种 用 于 零 配置 IP 地 址 分 配 的 技术 。 

> LLNR: 链 路 本 地 多 播 名 称 解 析 。 由 Microsoft 开 发 的 男 外 一 种 零 
配置 名 称 解析 技术 。 


> 多 播 DNS: 不 需要 服务 器 或 预先 配置 的 主机 文件 的 一 种 DNS 名 
称 解析 技术 。 


> SSDP: 简单 服务 发 现 协 议 。 由 Microsoft 发 起 的 一 种 服务 发 现 技 
术 ， 它 使 用 的 是 HTTP 而 不 是 DNS。SSDP 一 种 与 通用 即 插 即 用 (uPnP) 
相关 联 的 服务 发 现 协 议 。 


> Zeroconf: 一 个 协议 集合 ， 用 于 提供 零 配 置 TCP/IP 服 务 。 





本 章 介 绍 如 下 内 容 : 
> IPv6 产 生 的 原因 ; 
> IPv6 报 头 格 式 ; 
> 子 网 划分 ; 
> 多 播 ; 
> 邻居 发 现 ; 
> IPv6 隧 道 。 
因为 Internet 在 不 断 地 变化 ， 所 以 管理 Internet 的 通信 协议 也 必须 
不 断 地 变化 。Internet 协 (IP〉 议 定义 了 最 重要 的 IP 地 址 系统 ， 但 是 最 
0 本 章 将 会 介绍 什么 是 下 一 代 的 
]IP 系 纺 。 
学 完 本 章 后 ， 你 可 以 : 
> 解释 应 用 新 IP 系 统 的 必要 性 ; 
> 描述 IPv6 报 头 中 的 字段 ; 
应 用 书写 和 简化 IPv6 地 址 的 规则 ; 
> 将 现 有 的 IPv4 地 址 映射 到 IPv6 地 址 空间 ; 


> 理解 IPv6 多 播 和 邻居 发 现 ; 
> 描述 一 些 常 见 的 IPv6 隧 道 选项 。 





第 4 章 讲 解 的 IP 寻 址 系统 已 经 在 Internet 中 应 用 了 很 长 时 间 ， 这 个 系 
统 的 开发 人 员 有 足够 的 理由 为 TCP/P 的 生命 力 感到 骄傲 。 但 是 现在 的 
Internet 有 一 个 很 大 的 问题 : 了 了 地 址 即将 用 完 。 这 个 迫在眉睫 的 地 址 危机 
看 上 去 很 令 人 吃惊 ， 因 为 当前 的 他 格 式 中 带 有 32 位 的 地 址 字段 ， 可 以 提 
供 30 亿 个 主机 ID。 不 过 ， 需 要 注意 的 是 ， 这 30 亿 个 地 址 中 ， 实 际 上 有 很 
多 是 未 被 使 用 的 。 

一 个 网 络 ID 通 常会 被 分 配给 一 个 组 织 ， 并 且 由 这 个 组 织 控 制 主 机 ID 
在 自己 网 络 上 的 分 配 。 第 4 章 讲 到 ， 根 据 IP 地 址 字段 前 8 位 的 不 同 ，IP 地 
址 通常 会 被 归 到 不 同 的 地 址 类 中 。 表 13.1 列 出 了 地 址 类 和 与 之 相关 的 
地 址 范围 。 在 这 个 表 还 列 出 了 一 个 地 址 类 中 可 能 的 网 络 数量 ， 以 及 每 个 
网 络 中 可 能 的 主机 数量 。B 类 地 址 可 以 支持 65534 台 主机 。 不 过 ， 由 于 许 
多 拥有 B 类 地 址 的 组 织 并 没有 65534 个 网 络 节点 ， 因 此 ， 他 们 只 会 使 用 其 
中 部 分 地 址 。127 个 A 类 网 络 可 以 支持 16777214 个 地 址 ， 其 中 许多 也 
没有 被 使 用 。 值 得 注意 的 是 ， 这 16510 个 A 类 和 B 类 网 络 已 经 全 部 被 
占用 了 。 剩 下 的 C 类 网 络 则 只 支持 254 个 地 址 。 


表 13.1 不 同 耻 地址 类 别 的 网 络 数量 和 不 同 网 络 的 地 址 数量 




















C 2 一 223 2097151 254 


幸运 的 是 ， 因 为 网 络 地 址 转换 (NAT) 的 应 用 降低 了 对 Internet 地 址 
的 需求 ， 第 5 章 介绍 的 无 类 域 间 路 由 (CIDR) 地 址 系统 找 回 许多 未 被 使 
用 的 地 址 。 但 是 ， 由 于 最 近 几 年 的 发 展 ， 例 如 移动 网 络 的 不 断 增 长 ， 又 
给 地 址 空间 带 来 了 新 的 压力 。 

Internet 设 计 者 们 已 经 意识 到 ， 需 要 在 某 个 时 候 将 网 络 过 渡 到 一 个 新 
的 寻 址 系统 。 同 时 ， 因 为 这 个 系统 需要 应 对 各 种 挑战 ， 所 以 ， 必 须 加 入 
新 的 特性 和 新 的 技术 以 便 增强 IP 的 功能 。 这 个 新 系统 被 称 为 IPv6 (有 了 时 
也 叫做 应 用 于 下 一 代 IP 的 IPng) 。 当 前 IPv6 的 规范 是 1998 年 12 月 制定 的 
RFC 2460 (最 初 的 其 他 几 个 RFC 是 为 了 筹备 RFC 2460， 更 新 的 RFC 主 要 


是 在 讨论 IPv6 的 相关 问题 ) 。 

IPv6 中 的 IP 地 址 是 一 个 128 位 的 地 址 。 这 么 大 的 地 址 空间 能 够 支持 
10 亿 个 网 络 。 本 章 后 面 将 讲 到 ， 这 么 大 的 地 址 还 为 满足 IPv4 地 址 和 IPv6 
地 址 的 兼容 性 提供 了 足够 的 空间 。 

下 面 列 出 了 IPv6 的 目标 。 

扩展 寻 址 的 能 力 : IPv6 不 仅仅 是 可 以 提供 更 多 的 地 址 ， 还 能 够 
提升 IP 寻 址 的 能 力 。 例 如 ，IPv6 文 持 更 多 层次 的 寻 址 级 别 。IPv6 还 可 以 
提升 地 址 的 自动 配置 能 力 ， 并 且 提 供 更 好 的 任 播 寻 址 文 持 ， 使 得 入 站 的 
数据 包 可 以 到 达 “ 最 近 ? 或 “最 佳 > 的 目的 地 。 

> 更 简单 的 报头 格式 有些 IPv4 报 头 字段 被 移 除 。 其 他 的 字段 则 
是 可 和 这 的 。 

> 提升 了 对 扩展 和 选项 的 支持 : IPv6 可 以 在 可 选 的 扩展 报头 中 加 
入 一 些 报 头 信 息 。 这 种 方法 能 够 在 不 浪费 主 报头 空间 的 情况 下 增加 信息 
字段 的 范围 。 在 大 多 数 情况 下 ， 路 由 器 并 不 处 理 扩展 报头 ;使 得 数据 报 
的 传递 过 程 更 加 流畅 。 

> 流标 签 : 可 以 用 特定 的 流 级 别 标记 IPv6 数 据 报 。 流 级 别 就 是 一 
类 需要 特别 处 理 的 数据 报 。 例 如 ， 应 用 于 实时 服务 的 流 级 别 与 邮件 信息 
0 0 

> 提升 身份 认证 和 隐私 保护 的 能 力 : IPv6 扩 展 可 以 支持 身份 认 
证 、 机 密 性 和 数据 完整 性 技术 。 

在 编写 本 书 之 时 ，IPv6 已 经 存在 了 10 多 年 ， 实 际 上 现在 几乎 没有 
网 络 完全 实现 了 这 个 系统 。 部 分 原因 是 变更 为 下 一 代 系 统 式 ， 需 要 在 同 
时 运行 的 IPv4 和 IPv6 之 间 提 供 转 换 ， 只 要 还 可 以 使 用 IPv4， 管 理 员 就 没 
有 理由 停止 IPv4 的 运行 。 到 目前 为 止 ， 所 有 的 主流 操作 系统 和 大 多 数 
路 由 器 都 提供 了 对 IPv6 的 支持 。 但 是 ， 绝 大 多 数组 织 都 没有 额外 的 费用 
同时 支持 两 种 系统 的 运行 (虽然 IPv6 协 议 栈 的 运行 可 能 是 默认 的 )。 

即使 一 个 组 织 希 望 在 本 地 级 别 实现 一 个 天 然 的 IPv6 网 络 ， 也 很 难 找 
到 对 天 然 IPv6 提 供 文 持 的 Internet 服 务 提 供 两 (ISP) 。Internet IPv6 服 务 
通常 是 通过 IPv6 隧 道 代 理 提 供 的 。 本 章 后 面 会 讲 到 ， 隧 道 代 理 将 IPv6 数 
据 包 放 入 IPv4 隧 道中 。 这 种 方法 确实 可 以 在 终端 提供 IPv6 的 连通 性 ， 但 
人 
守土 。 


13.2 TIPv6 报 头 格 陈 


IPv6 的 报头 格式 如 图 13.1 所 示 。 请 注意 ， 基 本 的 IPv6 报 头 实际 上 比 














相应 的 IPv4 报 头 更 简单 。 报 头 梓 简化 的 部 分 原因 是 在 IPv6 中 ， 其 他 的 细 
节 信 息 被 放 在 了 主 报头 之 后 的 扩展 报头 中 。 


载荷 长 度 一 个 报头 本 加 


源 地 址 





目的 地 址 


图 13.1 IPv6 报 头 


IPv6 报 头 的 字段 如 下 所 示 。 
> 版 本 〈4 位 ) : 识别 IP 版 本 号 《在 这 里 应 该 是 版 本 6) 。 
> 流量 类 别 (8 位 ) : 识别 数据 报 中 封装 的 数据 类 型 
> 流标 签 (20 位 ，: 指派 流 级 别 。 
区 > 载 从 长度 (16 位 ) : 确定 数据 〈 报 头 之 后 的 数据 报 部 分 ) 的 长 


> 下 一 个 报头 〈8 位 ) : 定义 紧 跟 在 当前 报头 之 后 的 报头 的 类 型 。 
本 节 稍 后 会 讲解 扩展 报头 。 

> 跳 数 限 制 〈8 位 ) : 指示 该 数据 报 还 有 多 少 剩余 的 跳 数 。 每 经 过 
一 个 节点 ， 这 个 值 就 减 1。 如 果 跳 数 限制 到 达 0， 数 据 报 将 被 丢弃 。 

> 源 地 址 〈128 位 ) : 识别 发 送 数 据 报 的 计算 机 的 IP 地 址 。 

> 目的 地 址 〈128 位 ) : 识别 接收 数据 报 的 计算 机 的 IP 地 址 。 

本 章 前 面 已 经 介绍 过 ，IPV6 会 将 可 选 的 信息 添加 在 主 报头 和 数据 之 
间 的 扩展 报头 内 。 这 些 扩展 报头 提供 的 信息 可 以 应 用 于 特定 的 环境 ， 同 
时 又 保证 了 主 报头 能 够 尽量 小 ， 以 及 容易 管理 。 

IPv6 规 范 中 定义 了 如 下 的 扩展 报头 。 

> 逐 跳 选项 ; 

> 目的 选项 ; 








> 路 由 ; 
人 
吴 份 认证 ; 
> 有 效 载荷 安全 封装 。 
每 一 个 报头 类 型 都 与 一 个 8 位 的 识别 符 相 关联 。 通 过 在 主 报头 和 扩 
Ee 《 见 
13.2). 3 


下 一 个 报头 下 一 个 报头 下 一 个 报头 下 一 个 报头 
逐 跳 选 项 路 由 分 段 TCP 报头 和 数据 





逐 跳 
选项 报头 


图 二 2 下 二 个 天 攻 


在 上 面 描述 的 扩展 报头 中 ， 只 有 跳跃 选项 报头 和 路 由 报头 需要 在 传 
笨 路 径 中 被 中 间 节 点 处 理 。 路 由 器 不 处 理 其 他 的 扩展 报头 ， 只 放行 即 
可 。 





下 面 的 小 节 将 要 详细 讨论 这 些 扩 展 报头 类 型 。 

13.2.1 逐 跳 选 项 报 尖 

逐 跳 选项 报头 的 作用 是 将 传输 路 径 上 路 由 器 的 可 选 信息 关联 起 来 。 

逐 跳 选项 报头 与 目的 选项 报头 很 相似 ， 规 范 中 包括 这 个 报头 的 作用 
是 为 未 来 开发 出 的 选项 提供 一 种 格式 和 机 制 。 

规范 包括 了 一 个 可 选 的 分 配 类 型 以 及 一 些 用 于 对 其 数据 的 填充 选 
项 。 规 范 中 明确 定义 的 一 个 选项 是 巨型 载荷 〈jumbo payload) 选项 ， 可 
用 于 传递 载 荷 大 于 65535 字 节 的 数据 。 

13.2.2 “] 先 项 报 当 

目的 选项 报头 的 目的 是 将 可 选 的 信息 与 目的 节点 关联 起 来 。 与 逐 跳 
选项 报头 类 似 ， 目 的 选项 报头 主要 是 作为 开发 未 来 选项 的 框架 。 

13.2.3 路 由 报头 

路 由 报头 用 来 指定 数据 报 在 传递 路 笃 上 的 一 个 或 多 个 路 由 器 。 

路 由 报头 的 格式 如 图 13.3 所 示 。 








下 一 六 报头 路 由 剩余 
报头 长 度 类 型 分 段 


特定 类 型 的 数据 





图 13.3 路 由 报头 


路 由 报头 的 数据 字段 如 下 所 示 。 
> 下 一 个 报头 : 识别 紧 跟 在 该 报头 之 后 的 下 一 个 报头 的 报头 类 
i 

> 报头 长 度 (8 位 〉，: 定义 报头 的 长 度 ， 单 位 是 字 节 ， 但 其 中 不 包 
括 下 一 个 报头 字段 。 

> 路 由 类 型 《8 位 ) : 识别 路 由 报头 的 类 型 。 不 同 的 路 由 报头 类 型 
应 用 于 不 同 的 特定 场景 。 

> 剩余 分 段 : 指示 到 达 目 的 之 前 ， 被 显 式 定义 的 路 由 段 的 数量 。 

> 特定 类 型 的 数据 : 表示 路 由 类 型 字段 中 定义 的 特定 路 由 类 型 的 
数据 字段 。 

13.2.4 分 段 报头 

消息 路 径 上 的 每 一 个 路 由 器 都 有 一 个 最 大 传输 单元 〈Maximum 
Transmission Unit，MTU) 的 设置 。MTU 设 置 表示 路 由 器 可 以 传输 的 最 
大 数据 单元 。 在 IPv6 中 ， 源 节点 可 以 发 现 路 径 MTU， 即 传输 路 径 上 所 有 
设备 的 最 小 MTU 设 置 。 路 径 MTU 表 示 的 是 可 以 在 路 径 上 传递 的 最 大 数 
据 单 元 。 如 果 数 据 报 的 尺寸 大 于 路 径 MTU， 数 据 报 必须 被 分 成 更 小 的 
部 分 ， 这 样 才 能 将 数据 报 跨越 网 络 传递 。 分 段 报 头 包含 的 是 充足 分 段 数 
据 包 所 需 的 信息 。 

13.2.5 里 份 认 1 > 

吴 份 认证 报头 用 于 提供 安全 性 和 号 份 认证 信息 。 身 份 认 证 字段 提供 
了 一 种 可 以 决定 数据 报 是 否 在 传递 过 程 中 已 被 更 改 的 方法 。 

13.2.6 有 效 载荷 安全 封装 报 3 

有 效 载荷 安全 封装 〈Encrypted Security Payload，ESP) 报头 提供 了 
保密 性 和 机 密 性 。 通 过 使 用 IPv6 的 ESP 功 能 ， 部 分 或 所 有 被 传递 的 数据 
都 能 够 被 加 密 。 使 用 隧道 模式 的 ESP 时 〈 用 于 VPN 隧 道 ) ， 整 个 IP 数 据 
报 都 会 被 加 密 并 放置 在 一 个 未 加 蜜 的 外 部 数据 报 中 。 在 传输 模式 中 ， 只 














有 载荷 和 ESP 报 头 信 息 都 是 被 加 密 的 。 
13.3 IPv6 寻 址 


与 IJPv4 地 址 类 似 ，IPv6 地 址 是 由 Internet 授 权 中 心 分 配 的 ， 并 且 通 过 
ISP 和 其 他 带宽 提供 商 的 系统 分 发 。 如 表 13.2 所 示 ， 有 些 特定 的 地 址 范围 
被 保留 ， 以 用 作 特 殊 的 活动 ， 例 如 多 播 和 链接 本 地 寻 址 (与 第 12 章 中介 
绍 的 IPv4 零 配置 系统 相似 ) 。 还 有 一 部 分 地 址 范围 被 用 做 IPv4 地 址 到 
IPv6 地 址 空间 的 映射 。 


表 13.2 RFC 4291 中 的 IPv6 地 址 范围 














地 址 类 型 | 二 进 制 前 绥 IPv6 表示 法 描述 

未 指定 0...00 (全 0) ::/128 未 被 分 配 ， 表 示 缺 少 地 址 

环 回 0...01 (127 个 0) rd a A! 诊断 地 址 ， 用 于 向 本 机 发 送 数据 包 
映射 后 的 IPv4 0...0:FFFF (80 个 0) :FFFF/96 与 现 有 IPv4 地 址 对 应 的 IPv6 地 址 
多 播 11111111 FF00::/8 表示 一 组 主机 

链 路 本 地 单 播 | 1111111010 FE80::/10 用 于 自动 地 址 配置 

全 局 单 播 所 有 其 他 的 前 绥 











要 想 记 住 128 位 的 IPv6 地 址 是 几乎 不 可 能 的 。 在 第 4 章 讲 到 ，32 位 的 
IPv4 地 址 通常 可 以 用 点 分 十 进 制 形 式 来 表示 ， 即 每 个 字 市 的 数据 可 以 用 
最 多 3 位 十 进 制 数 来 表示 。 记 住 用 12 个 十 进 制 数 表示 的 字符 串 比 记 住 用 
32 个 二 进 制 数 表示 的 二 进 制 地 址 要 容易 一 些 。 不 过 ， 这 种 应 用 于 32 位 地 
址 的 方法 对 记忆 128 位 的 地 址 是 没有 效果 的 。 实 际 上 ， 也 很 少 有 用 来 简 
化 IPv6 地 址 记忆 的 方法 。 

IPv6 地 址 通常 是 由 用 冒号 隔 开 8 个 4 位 十 六 进 制 数组 成 的 〈 显 示 时 每 
一 组 数据 都 会 省 略 挥 前面 的 0 字符 〉: 

2001:DB8:0:0:8:800:200C:417A 

此 外 ， 还 可 以 通过 用 双 冒 号 来 蔡 代 多 个 连续 0 的 方法 简化 地 址 的 写 
法 。 对 于 上 面 的 地 址 ， 可 以 按照 如 下 方法 人 简写: 

2001:DB8::8:800:200C:417A 

每 一 个 地 址 只 允许 使 用 一 个 双 冒 写 。IPv6 地 址 的 分 配 规则 常常 会 导 
I 





FFO1:0:0:0:0:0:0:101 
可 以 简写 为 : 


FFO1::101 

与 IPv4 地 址 相似 ，IPV6 地 址 的 开始 是 表示 网 络 的 前 经 。 与 CIDR 系 统 
相同 ， 用 户 可 以 通过 指定 地 址 组 中 的 第 一 个 地 址 并 加 上 表示 网 络 位 数 日 
的 十 进 制 数 来 表示 一 个 地 址 组 。 根 据 RFC4291“IPv6 Addressing 
Architecture”， 要 想 表 达 带 有 60 位 网 络 前 绥 20010DB80000CD3 的 一 组 
地 址 ， 可 以 按 如 下 方法 编写 : 

2001:0DB8:0000:CD30:0000:0000:0000:0000/60 

或 写 为 

2001:0DB8:0:CD30::/60 

IPV6 网 络 配 置 软件 允许 用 户 定 义 一 个 默认 的 网 络 前 级 ， 以 便 在 客户 
端的 手动 配置 只 需要 参考 地 址 的 主机 部 分 。IPv6 也 提供 了 复杂 的 目 动 配 
置 特性 ， 可 以 避免 用 户 输 入 见长 的 地 址 。 

虽然 还 不 知道 网 络 管理 员 将 如 何 适 应 这 么 长 的 耻 v6 地 址 ， 但 是 任何 
人 都 可 以 猜测 到 ， 名 称 解 析 一 定 会 在 IPv6 网 络 中 扮演 很 重要 的 角色 。 


13.4 子 网 划分 


第 5 章 讲 到 ，IPv4 地 址 的 某 些 位 可 以 用 来 表示 网 络 或 子 网 ， 有 些 位 
则 表示 主机 ID。 在 最 近 几 年 ， 旧 有 的 地 址 分 类 系统 已 经 被 CIDR 取 代 。 
在 CIDR 表 示 法 中 ， 地 址 后 面 的 斜 线 后 根 由 一 个 数字 ， 用 来 表示 32 位 地 
址 中 ， 与 网 络 和 子 网 相关 联 的 位 数 : 

205.123.196.183/25 

在 上 一 节 讲 到 ，IPv6 也 使 用 这 种 CIDR 风 格 的 表示 法 ， 来 标记 与 地 
址 的 网 络 部 分 相关 联 的 位 数 。IPv6 更 大 的 地 址 空间 和 高 级 的 技术 ， 使 得 
我 们 需要 一 种 全 新 的 子 网 划分 技术 。128 位 的 IPv6 地 址 为 地 址 的 网 络 和 
主机 部 分 留 下 了 很 大 的 空间 。 在 IPv6 中 ， 假 定子 网 划分 发 生 在 地 址 的 第 
1 个 64 位 ， 这 样 剩余 的 64 位 (或 更 多 ) 可 以 用 于 子 网 中 的 主机 ID。 这 
样 ， 这 个 几 十 亿 数 量 级 的 主机 对 任何 网 络 而 言 都 足够 了 ， 这 也 意味 着 对 
地 址 空间 进行 细 分 ， 以 充分 利用 地 址 空间 的 概念 成 为 过 去 时 ， 在 同一 个 
子 网 中 ， 可 以 共存 几 千 个 网 络 节点 。 

然而 ， 出 于 性 能 和 流量 管理 的 原因 ， 管 理 员 仍然 希望 使 用 路 由 器 来 
分 割 大 型 网 络 ， 并 使 用 子 网 划分 技术 将 数据 包 发 送 到 不 同 的 网 段 。 此 
时 ， 地 址 空间 的 前 64 位 可 以 为 地 址 中 的 网 络 和 子 网 部 分 提供 大 量 的 空 
间 。 人 例如， 如果 一 个 网 络 被 分 派 了 一 个 /48 的 地 址 范围 ， 它 将 有 16 位 用 
于 子 网 划分 ， 剩 余 的 64 位 可 以 用 于 主机 ID。 


13.5 多 播 




















IPv4 是 围绕 着 网 络 广播 的 理念 设计 的 。 发 送 到 广播 地 址 〈 比 如 
255.255.255.255， 也 即 全 1) 的 消息 将 会 被 子 网 中 的 所 有 主机 读 取 。 这 
个 概念 相当 不 错 ， 但 是 自从 设计 出 IPv4 以 来 ， 更 为 有 效 的 解决 方案 也 开 
发 了 出 来 。 一 个 名 为 多 播 的 新 方法 在 发 送 给 个 体 ( 单 播 ) 和 发 送 给 全 体 
(广播 ) 之 间 提 供 了 一 个 中 间 选 项 。 尽 管 多 播 是 在 IPv4 的 时 代 引 入 的 ， 
但 是 在 IPv6 中 ， 它 引起 了 更 多 的 兴趣 和 大 量 的 关注 。 事 实 上， 多 播 是 内 
置 在 IPv6 中 的 。 在 多 播 中 ， 主 机 参与 到 共享 同一 个 多 播 地 址 的 多 播 组 
0 

IPv6 中 定义 了 几 种 不 同类 型 的 IPv6 多 播 地 址 。 例 如 ， 链 路 本 地 多 
播 的 多 播 地 址 前 绥 是 ff02::/16。 

多 播 在 IPv6 网 络 中 具有 很 重要 的 作用 。 应 用 开发 人 员 也 使 用 多 播 技 
术 ， 将 数据 更 为 高 效 地 传递 给 IPv6 网 络 上 的 多 播 主机 。 


13.6 链 路 本 地 


前 级 为 fe80::/10 的 IPv6 地 址 是 链 路 本 地 地 址 。 链 路 本 地 地 址 不 会 穿 
越 路 由 器 ， 仅 用 于 本 地 网 段 的 通信 。 这 使 得 链 路 本 地 地 址 与 IPv4 网 络 
中 使 用 的 私有 地 址 范围 具有 异曲同工 之 妙 (有 关 IPv4 私 有 地 址 范围 的 更 
多 信息 ， 请 见 第 4 章 ) 。 

本 章 后 面 将 讲 到 ， 这 些 链 路 本 地 地 址 在 IPv6 的 自动 配置 系统 中 具有 
重要 的 作用 。 链 路 本 地 地 址 允许 计算 机 在 不 需要 进行 手动 配置 (也 不 需 
要 DHCP 服 务 器 的 自动 配置 ) 的 情况 下 ， 束 能 在 本 地 网 段 进行 通信 。 当 
然 ， 由 于 这 些 链 路 本 地 地 址 是 不 可 路 由 的 ， 因 此 无 法 为 更 大 网 络 〈 在 本 
地 网 络 之 上 ) 提供 连通 性 。 为 了 与 世界 其 他 地 方 进 行 连接 ， 主 机 需要 一 
个 可 路 由 的 王 地 址 ， 或 者 是 通过 访问 一 个 现成 的 IPv6 DHCP 设 备 来 接收 
一 个 动态 地 址 。 


13.7 令 Z 现 


在 第 4 章 讲 到 ，ARP 提供 了 将 IPv4 地 址 映射 为 与 网 卡 相 关联 的 物 
理 地 址 的 方法 。ARP 在 网 际 层 的 逻辑 寻 址 和 网 络 访问 层 基 于 硬件 的 地 址 
之 间 提 供 了 链 路 。 在 IPv6 网 络 中 ，IP 地 址 到 物理 地 址 的 映射 是 通过 称 
为 邻居 发 现 的 过 程 实 现 的 。 

Intemet 控 制 消息 协议 版 本 6 (ICMPv6) 提供 了 邻居 发 现 服务 。 本 地 
网 络 中 需要 解析 IPv6 地 址 的 主机 首先 计算 与 该 地 址 相关 联 的 一 个 请 求 节 
点 多 播 地 址 《请 求 节 点 多 播 地 址 的 格式 在 IPv6 文 档 中 有 定义 ， 它 包含 一 
个 多 播 范 围 中 的 前 级 ， 以 及 与 IPv6 单 播 地 址 相对 应 的 主机 位 ) 。 主 机 随 


























后 将 邻居 请 求 数 据 包 发 动 到 请 求 多 播 地 址 (该 地 址 包含 发 送 者 希望 解析 
的 IPv6 地 址 ) ， 要 求 地 址 的 拥有 者 进行 啊 应 。 发 送 者 还 将 其 物理 地 址 作 
为 响应 的 目的 地 址 发 送 给 IPv6 地 址 的 所 有 者 。 IPv6 地 址 的 所 有 者 使 用 一 
进行 啊 应 ， 该 数据 包 中 包含 它 自己 的 物理 地 址 和 链 路 
地 二 
通过 该 过 程 ， 网 络 中 的 主机 建立 了 邻居 缓存 ， 该 缓存 类 似 于 IPv4 网 
络 中 使 用 的 ARP 表 。 


13.8 目 动 配 


169.254.0.0/16 地 址 范围 中 的 自动 配置 地 址 近年 来 在 IPv4 网 络 中 出 现 
《有关 IPv4 自 动 配置 的 详情 ， 请 见 第 12 章 ) 。 目 动 配置 技术 用 于 在 计算 
机 无 法 找到 DHCP 无 服务 器 并 且 也 没有 手动 配置 地 址 的 情况 时 ， 为 其 指 
派 一 个 IP 地 址 。 这 个 不 可 路 由 的 “ 零 配置 ”地 址 足以 让 计算 机 连接 到 打印 
， 的 其 他 对 等 体 ， 也 可 以 让 计算 机 通过 DNS 服务 发 现 找到 

地 服务 。 

IPv6 无 状态 自动 配置 特性 以 一 种 更 简单 的 方式 提供 了 相 类 似 的 功 
能 。IPv6 上 自动 配置 基于 物理 地 址 的 一 个 哈 希 为 计算 机 指派 一 个 链 路 本 地 
地 址 。 由 于 物理 地 址 都 是 独一无二 的 ， 因此 链 路 本 地 地 址 很 大 情况 下 也 
是 唯一 的 ， 这 也 就 避免 了 IPv4 零 配置 网 络 中 出 现 的 地 址 冲突 问题 。 通 
过 使 用 一 个 标准 的 转换 将 48 位 的 物理 地 址 转换 为 一 个 64 位 的 字符 串 ， 然 
后 再 将 其 附加 到 fe80::/10 链 路 本 地 前 级 的 后 面 〈( 在 必要 时 使 用 二 进 制 0 
进行 填充 ) ， 从 而 形成 一 个 完整 的 链 路 本 地 地 址 。 

通过 名 为 重复 地 址 检测 (Duplicate Address Detection，DAD ) 的 另 
外 一 个 过 程 ， 主 机 将 检测 该 地 址 是 已 经 在 本 地 网 段 使 用 了 ， 如 果 没 有 的 
话 ， 主 机 将 采用 这 个 自动 配置 的 地 址 。 


13.9 IPv6 相 页 量 


IPv6 提出 了 另外 一 个 挑战 : 提供 统一 的 服务 质量 级 别 。 该 挑战 最 近 
在 日 渐 老 化 的 IPv4 基 础 设施 中 得 以 显现 。 

以 前 ，Internet 主 要 应 用 与 电子 邮件 和 FTP 类 型 的 下 载 ,， 没有 人 考虑 
数据 传递 的 优先 级 。 如 果 电 子 邮 件 无 法 在 两 秒 钟 内 到 达 ， 那 么 它 会 在 两 
A 没有 人 在 意 是 否 指定 或 限制 消息 到 达 的 时 间 间 

。 与 之 相反 ， 今 天 的 Internet 可 以 文 持 很 多 种 不 同类 型 的 传递 ， 其 中 
3 些 具 有 严格 的 传递 要 求 。 如 果 因 为 数据 包 被 停留 在 路 由 器 的 缓存 中 
而 导致 了 很 长 的 延 时 ， 那 么 Internet 视 频 、 电 视 以 及 其 他 实时 应 用 程序 将 
无 法 正常 工作 。 对 于 Internet 电 话 ， 即 使 是 很 小 的 延 时 ， 也 会 给 打 电 话 的 




















人 造成 很 大 的 困扰 。 

在 未 来 的 mnternet 中 ， 会 根据 数据 需要 等 待 的 时 间 为 卫 数 据 报 划分 优 
先 级 。 来 目 交 互 陈 视频 程序 的 数据 报 会 被 放置 在 路 由 器 缓存 队列 中 的 最 
顶端 ， 从 而 造成 电子 邮件 数据 报 短暂 的 延 时 。 

IPv6 可 以 通过 区 分 服务 级 别 来 进行 优先 级 划分 。IPv6 报 头 中 的 流量 
类 别 字 段 和 流标 签字 段 能 够 指定 数据 报 中 数据 的 类 型 和 优先 级 〈 见 图 
二 3 汪汪 

注意 : 区 分 服务 

一 些 广 商 和 工程 师 已 经 党 试 了 使 用 IPv4 的 服务 类 型 字段 来 区 分 服务 
信息 。IPv6 流 量 类 型 字段 由 在 使 用 区 分 服务 来 文 持 不 断 持续 的 实验 。 


13.10 IPv6 和 IPv4 


当然 ，IPv6 采 用 的 是 逐渐 进行 的 方式 。 目 前 Internet 仍然 没有 被 完 
全 更 新 ， 因 此 ， 工 程 师 对 IPv6 进 行 了 设计 ， 使 得 在 IPv4 回 IPv6 的 长 期 过 
渡 中 ， 两 者 能 够 共存 。 

一 种 方法 是 通过 多 协议 配置 ， 使 得 IPv6 协 议 栈 能 够 与 IPv4 协 议 栈 同 
时 运行 ， 就 像 IPv4 曾 经 与 IPX/SPX、NetBEUI 以 及 其 他 协议 栈 同时 共存 
那样 。 

IPv6 寻 址 系统 提供 了 将 现 有 的 IPv4 地 址 包括 在 自己 的 地 址 空间 中 的 
方法 。 最 初 的 计划 是 将 每 一 个 有 效 的 IPv4 地 址 映射 成 一 个 128 位 的 IPv6 
地 址 〈 通 过 在 原 地 址 前 添加 96 个 0 位 ) 。 这 种 形式 被 称 为 与 IPv4 兼 容 的 
IPv6 地 址 。 不 过 ， 在 REFC 4291 中 对 这 种 形式 提出 了 强烈 的 反对 ，RFC 
4291 更 倾向 于 另 一 种 技术 一 一 映射 IPv4 的 IPv6 地 址 ， 这 种 地 址 包含 80 
个 0 位 和 16 个 1 位 (十 六 进 制 FFFF〉 ， 后 面 再 加 上 原来 的 32 位 的 IPv4 地 
址 。 

例如 ， 对 于 IPv4 地 址 : 

169.219.13.133 

可 以 映射 成 IPv6 地 址 

0000:0000:0000:0000:0000:FFFF:A9DB:0D85 

或 简写 的 : 

::FFFF:A9DB:0D85 

因为 这 个 前 级 清楚 地 表明 了 这 个 地 址 是 被 映射 的 IPv4 地 址 ， 所 以 
IPv4 部 分 有 时 候 可 以 写成 点 分 十 进 制 形 式 : 

::FFFF:169.219.13.133 


13.11 IPv6 障 道 








多 年 以 来 ， 专 家 们 一 直 在 讨论 IPv4 向 IPv6 过 渡 的 计划 ， 但 是 至 今 仍 
然 没 有 实现 完整 的 IPv6 Internet。 但 是 ， 在 过 去 的 几 年 ， 这 一 过 渡 步 伐 
己 经 加 速 。 在 2011 年 春天 ， 随 着 最 后 一 个 IPv4 地 址 块 被 分 配 出 去 ， 地 址 
耗 尽 问题 终于 引起 了 人 们 的 关注 ， 而 且 IETF 也 正在 采取 措施 以 保证 ISP 
和 管理 员 能 够 调整 其 需求 ， 以 实现 IPv6 功 能 。 

所 有 人 都 知道 ， 没 有 人 可 以 扔 挤 交 换 机 ， 并 神奇 对 将 整个 Internet 从 
IPv4 网 络 切换 到 IPv6 网 络 。 在 过 去 的 几 年 中 ， 为 了 实现 IPv4 辐 IPv6 的 逐 
步 过 渡 ， 人 们 已 经 发 明了 大 量 的 技术 。 这 些 技术 的 理念 是 ， 网 络 和 
Internet 提 供 商 在 绥 慢 地 实现 和 测试 IPv6 基 础 设置 的 各 种 组 件 时 ， 仍 然 保 
持 IPv4 的 连接 性 。 

根据 IETF 在 20007 年 发 布 的 迁移 计划 ，IPv4 癌 IPv6 的 过 渡 应 该 在 
2010 年 和 2011 年 之 则 发 生 ， 从 2012 年 以 后 ， 对 IPV6 的 支持 必须 是 强制 性 
的 。 在 本 书 编写 之 时 ， 这 一 雄心 勃勃 的 计划 似乎 在 执行 时 略 有 欠缺 ， 但 
是 大 方 同 是 正确 的 ， 它 仍然 一 直 在 癌 IPv6 迁 移 。 

大 多 数 计算 机 系统 提供 了 一 些 与 IPv6 兼 容 的 形式 。 一 个 典型 的 场景 
是 计算 机 可 以 在 双 栈 配置 中 同时 支持 IPvV4 和 IPv6。 一 个 采用 双 栈 配置 的 
计算 机 使 用 必要 的 连 网 软件 通过 IPv4 或 IPv6 进 行 通信 。 

当然 ， 只 有 在 全 面 实现 了 IPv6 之 后 ， 才 能 通过 IPv6 来 无 颖 访问 整个 
Internet， 但 是 目前 来 看 还 不 现实 。 工 程 师 因此 开发 了 几 种 技术 ， 用 于 将 
IPv6 扳 岛 与 更 大 的 IPv4 Internet 连 接 起 来 。 

实现 远程 IPv6 连 接 的 常见 方法 是 使 用 IPv6 隧 道 代 理 。IPv6 隧 道 的 理 
念 是 将 IPv6 流 量 封装 在 IPv4 之 内 。 位 于 隧道 末端 的 隧道 服务 器 接收 IPVv6 
数据 包 ， 并 将 其 封装 到 IPv4 报 头 中 ， 然 后 将 它 发 送 到 另外 一 个 末端 。 最 
初 的 IPv6 数 据 包 在 这 个 末端 被 提取 出 来 ， 然 后 转发 到 目的 IPv6 网 络 〈 见 
图 13.4) 。 这 种 类 型 的 隧道 可 以 让 IPv6 网 络 与 其 他 IPv6 网 络 通信 。 管 理 
员 可 以 在 家 乡 网 络 和 分 支 网 络 上 实现 和 测试 完整 的 IPv6 配 置 ， 并 使 用 隧 
道 代 理 将 其 连接 起 来 。 
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图 13.4 隧道 代理 操作 隧道 服务 器 ， 使 得 IPv6 网 络 在 IPv4 网 络 中 连接 起 来 


有 时 ， 网 络 直 接 与 隧道 代理 签订 协议 ， 以 支持 IPv6 流 量 ， 有 时 候 时 
ISP 与 镑 后 的 代理 签订 协议 ， 然 后 将 数据 包 发 送 给 提供 IPv6 支 持 的 终 并 
用 户 网 络 。 

下 面 的 小 节 将 讨论 这 一 隧道 概念 的 其 他 变 体 ， 其 中 包括 6to4 和 
Teredo。 

注意 ， 所 有 的 这 些 隧道 技术 用 于 将 刻意 配置 的 IPv6 主 机 与 其 他 刻意 
配置 的 IPv6 主 机 连接 起 来 。 这 提供 了 一 种 实现 IPv6 某 些 优势 的 方式 ， 比 
如 高 级 多 播 和 服务 质量 ， 它 还 可 以 使 开工 作 人 员 获 得 一 些 IPv6 的 工作 经 
验 ， 但 是 Internet 的 其 余部 分 仍然 与 以 往 相 同 ， 除 非 数 干 台 Web 服 务 妖 、 
邮件 服务 器 和 其 他 连接 Internet 的 服务 已 经 全 面 支持 IPv6。 


13.11.1 6to4 


6to4 映 射 技 术 提 供 了 将 IPv4 自 动 映 射 为 IJPv6 地 址 的 一 种 方法 。6to4 
与 本 章 前 面 讲解 的 地 址 映射 策略 相似 ， 但 是 它 保 留 了 IPv6 地 址 空间 的 一 
个 特定 部 分 ， 从 而 创造 了 可 以 被 自动 识别 为 6to4 地 址 的 一 个 IPv6 地 址 。 

6to4 提 供 了 一 种 方式 ， 使 得 即使 当 IPv6 网 络 没 有 与 支持 IPv6 的 隧道 
提供 者 或 TSP 进 行 协 商 时 ， 仍 然 也 可 以 通过 IPv4 网 络 来 线性 化 
(threading〉 地 发 送 IPv6 数据 包 。 在 有 些 情 况 下 ， 隧 道 代 理 可 能 会 使 用 
6to4 作 为 隧道 技术 。 

6to4 背 后 的 理念 是 ， 将 IPv4 目 的 地 址 从 入 到 IPv6 地 址 内 。 前 缀 为 
2002::/16 的 IPv6 地 址 供 6to4 使 用 。32 位 的 IPv4 地 址 附加 到 这 个 前 绥 后 





面 ， 这 意味 着 IPv6 地 址 的 前 48 位 表示 该 地 址 是 一 个 6to4 地 址 ， 而 且 还 指 
明了 IPv6 子 网 ， 并 提供 了 在 整个 IPv4 网 络 上 路 由 的 IPv4 目 的 地 址 。 

一 个 6to4 中 继 服 务 器 接收 这 个 算 改 后 的 IPv6 地 址 ， 然 后 提取 出 IPv4 
地 址 ， 并 将 IPv6 数 据 包 封装 到 IPv4 数 据 包 之 内 ， 然 后 再 发 送 到 目的 地 址 
( 见 图 13.5)〉 。 在 数据 包 的 目的 地 址 ， 该 数据 包 被 发 送 到 运行 在 任 播 地 
址 192.88.89.1 上 的 6to4 中 继 ， 并 在 该 中 继 上 提取 出 最 初 的 IPv6 数 所 
包 ， 然 后 再 进行 发 送 。 
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图 13.5 一 台 6to4 中 继 服 务 器 接收 帝 有 前 级 2002::/16 的 IPv6 数 据 包 ， 提 
取出 里 面 的 IPv4 地 址 ， 然 后 创建 一 个 IPv4 数 据 包 ， 以 在 IPv4 网 络 中 传输 


13.11.2 Teredo 

6to4 隧 道 技术 是 一 种 可 以 为 IPv4 网 络 中 的 IPv6 节 点 提供 连通 性 的 方 
法 。 该 方法 比较 有 效 而 且 也 很 流行 ， 但 是 它 还 有 一 个 很 大 的 问题 。IPv4 
目的 地 址 必须 是 一 个 可 路 由 的 Internet 地 址 ， 如 果 目 的 地 址 是 一 个 不 可 
路 由 的 私有 网 络 地 址 ， 则 无 法 使 用 该 方法 。 不 笠 的 是 ， 大 量 的 Internet 用 














户 现 在 都 是 在 NAT 设 备 之 后 的 私有 网 络 中 运行 。 而 Teredo 作 为 6to4 的 替 
代 技 术 应 运 而 生 ， 它 可 以 解决 NAT 设 备 的 问题 。 

Teredo 在 RFC 4380 中 定义 ， 它 使 用 UDP 传 输 协 议 ， 因 此 与 面向 连接 
的 TCP 相 比 ， 它 能 更 好 地 通过 NAT 设 备 。Teredo 使 用 的 IPv6 前 级 是 
3FFE:831F::/32， 使 用 的 UDP 端 口 是 3544。 

充当 Teredo 客 户 端的 计算 机 在 IPv4 NAT 后 面 运行 ， 它 可 以 使 用 
Teredo 通 过 IPv6 进 行 通 信 。Teredo 服 务 器 维护 者 NAT 后 面 的 客户 端 计算 
机 的 信息 。 服 务 器 并 不 参与 数据 包 的 转发 ， 但 是 它 可 以 感知 到 客户 端 和 
Teredo 中 继 ， 并 参与 连接 的 建立 。 

指派 给 客户 端的 IPv6 地 址 包含 了 各 种 相关 的 信息 ， 这 些 信息 在 发 送 
数据 时 会 用 到 。 跟 随 在 Teredo 前 级 (3FFE:831F::/32) 后 面 的 是 Teredo 服 
务 器 的 32 位 IPv4 地 址 。NAT 设 备 的 IPv4 地 址 也 髓 入 在 该 IPv6 地 址 中 ， 这 
台 NAT 设 备 充当 私有 网 络 和 UDP 端 口号 之 间 的 公共 接口 ， 其 中 ，UDP 端 
口号 已 经 映射 到 NAT 设 备 背后 的 Teredo 客 户 端 。 

Teredo 是 一 种 功能 强大 的 技术 ， 有 些 网 络 已 经 开始 使 用 该 技术 ， 但 
是 它 在 一 定 程度 上 仍然 是 实验 性 质 的 ， 而 且 与 本 章 描述 的 其 他 隧道 技术 
一 样 ， 都 属于 I 临 时 性 的 技术 。 当 Internet 最 初 实现 了 全 IPv6 连 接 之 后， 
这 些 使 ITPv4 与 IPv6 协 同 工 作 的 策略 将 不 复 存 在 。 


139.12 .小结 


IPv6 是 下 一 代 的 耳 协议 ， 它 正 慢 慢 地 进入 到 真实 的 世界 中 。IPv6 寻 
址 系统 与 第 4 章 介绍 的 系统 是 完全 不 同 的 。128 位 的 地 址 空间 能 够 提供 近 
乎 无 限制 的 地 址 数量 。IPv6 还 提供 了 一 个 简单 的 报头 、 更 大 的 负载 以 及 
与 安全 性 和 服务 质量 相关 的 增强 。IPv4 向 IPv6 的 迁移 已 经 开始 。 现 在 
有 多 种 隧道 服务 在 现 有 的 IPv4 网 络 中 提供 了 连通 性 服务 。 


13.13 问 与 答 


问 : 为 什么 许多 IP 地 址 没有 被 使 用 ? 

答 : 负责 分 配 这 一 个 mternet 地 址 空间 的 组 织 通常 无 法 使 用 这 个 地 址 
空间 中 的 所 有 主机 ID。 

问 : 将 报头 信息 放 在 扩展 报头 而 不 是 主 报头 的 好 处 是 什么 ? 

答 : 只 有 当 报 头 中 的 信息 是 必要 的 时 候 ， 才 会 使 用 扩展 报头 。 男 
外 ， 路 由 器 并 不 处 理 大 部 分 扩展 报头 ， 所 以 也 不 会 降低 路 由 器 的 流量 。 
问 : IPV6 如 何 协助 实时 应 用 程序 (例如 视频 会 议 ) 进行 工作 ? 

答 : IPv6 报 头 中 的 流量 类 别 字 段 和 流标 签字 段 提 供 了 一 种 指明 数据 
类 型 和 优先 级 的 方法 。 











13.14 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问 题 站 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 由 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问 题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 

13.14.1 问题 

1. 多 播 为 什 要 比 广播 更 高 效 ? 

2. 为 什么 IPv6 自 动 配置 要 比 IPv4 的 zeroconf ( 零 配置 ) 自动 配置 更 
为 可 靠 ? 

3. IPv6 的 哪个 地 址 前 级 供 6to4 使 用 ? 

4. 我 想 要 连接 到 一 个 远程 的 IPv6 网 络 中 ， 但 是 我 的 计算 机 位 于 
IPv4 NAT 设 备 的 后 面 。 我 应 该 使 用 哪 种 类 型 的 隧道 呢 ? 

13.14.2 练习 

Internet 上 有 几 个 可 用 的 IPv6 计 算 机 。 例 如 ，Subnet 


Online (http:/www.subnetonline.com/pages/subnet-calculators/ipv4-to- 
ipv6-converter.php) 上 的 计算 机 可 以 将 IPv4 地 址 转换 为 IPv6 地 址 。 在 其 
中 输入 你 的 IPv4 地 址 ， 然 后 单 击 IPv6 按 钮 ， 可 以 将 输入 的 地 址 转换 为 
IPv6 格 式 的 地 址 。 

取决 于 你 使 用 的 地 址 和 网 络 掩 码 ， 你 可 能 会 看 到 一 个 映射 后 的 6to4 
地 址 ， 该 地 址 以 2002::/16 前 缀 打头 。 
IPv6 的 。 








13.15 关键 术语 


复习 下 列 关 键 术语 : 

> 6to4: 一 种 流行 的 IPv6 隧 道 技 术 。 

> 任 播 : 将 数据 报 发 送 到 最 近 或 最 佳 目 的 的 一 种 寻 址 技术 。 

> 流 级 别 : 指派 给 IPv6 数 据 报 ， 以 表明 需要 对 其 进行 特殊 的 处 
理 ， 或 者 表示 否 吐 量 的 一 个 特殊 级 别 ( 比 如 “实时 ”) 。 

> IPv6: 带 有 128 位 IP 地 址 的 新 IP 寻 址 标准 。IPv6 设 计 者 们 希望 
IPV6 可 以 在 未 来 的 几 年 中 被 逐步 采用 。 

> 巨型 载荷 : 长度 大 于 传统 的 65535 字 节 限 制 的 数据 报 载荷 。IPvV6 
能 够 让 巨型 载 答 数据 报 通过 网 络 传递 。 

> 最 大 传输 单元 (MTU) : 路 由 器 可 以 传输 的 最 大 数据 单元 。 











> 多 播 : 将 数据 发 送 到 网 段 中 一 组 用 户 的 一 种 技术 。 

> 邻居 发 现 : 在 IPv6 网 络 中 ， 将 IPv6 地 址 映射 到 物理 地 址 的 过 
程 。 

> 路 径 MTU: 传输 路 径 上 的 任何 设备 都 可 以 处 理 的 最 小 MTU 设 
置 。 路 径 MTU 表 示 传 输 路 径 可 以 传输 的 最 大 数据 单元 。 

> Teredo: 用 于 应 对 NAT 设 备 的 一 种 IPv6 隧 道 技 术 。 
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第 14 章 TCP/IP 工 具 


本 章 介 绍 如 下 内 容 : 

> 协议 问题 ; 

> 线路 问题 ; 

> 名 称 解析 问题 ; 

> 网 络 性 能 问题 。 

在 TCP/IP 环境 中 ， 包 含 大 量 用 于 设置 、 管 理 以 及 检测 网 络 连 接 故 
障 的 标准 工具 。 这 些 TCP/IP 工 具 的 历史 可 以 退 调 到 现代 的 图 形 用 户 界 面 
产生 之 前 ， 而 且 其 中 许多 工具 是 用 于 命令 行 界 面 鸭 。 命 令 行 界 面 可 能 听 
起 来 有 点 过 时 了 ， 但 是 许多 经 验 丰 富 的 网 络 管理 员 仍然 认为 ， 在 命令 提 
示 符 下 工作 ， 要 比 单 击 鼠 标 和 拖 动 窗口 更 快 、 更 简单 ， 也 更 有 效 。 

本 章 将 从 一 些 可 以 帮助 您 检测 和 配置 TCP/IP 网 络 的 工具 开始 。 当 
您 需要 识别 连通 性 问题 、 检 测 网 络 节点 之 间 的 通信 ， 或 者 检查 您 网 络 上 
计算 机 的 TCP/IP 配 置 时 就 会 发 现 ， 这 些 工 具 是 不 可 或 缺 的 。 

学 完 本 章 后 ， 你 可 以 : 

> 认识 和 描述 常见 的 TCP/IP 连 接 工 具 ; 

> 使 用 这 些 连 接 工 具 来 检测 网 络 问题 。 


14.1 连通 性 问题 











前 面 几 章 讲 到 ， 一 个 协议 就 是 一 种 通信 标准 。 软 件 生 产 商 依照 相应 
标准 所 描述 的 操作 ， 制 作出 软件 模块 来 执行 该 标准 。 人 们 直接 安装 和 配 
置 所 需 的 协议 软件 ， 或 者 是 通过 安装 支持 相应 协议 软件 的 操作 系统 来 获 
得 。 你 可 能 已 经 猜 到 ， 当 相应 的 软件 被 启动 并 运行 时 ， 网 络 仍然 可 能 
法 工作 。 有 时 ， 某 些 服 务 功能 正常 而 其 他 的 不 正常 。 其 他 时 候 ， 一 台 计 
算 机 可 以 连接 到 某 台 远程 PC， 却 无 法 连接 到 另外 一 台 。 偶 尔 ， 某 人 台 计 
算 机 似乎 根本 没有 任何 网 络 访问 权 ， 就 好 像 根 本 没有 连接 上 一 样 。 

网 络 功能 障碍 通常 源 于 一 些 和 常见 的 问题 。TCP/IP 社区 已 经 开发 出 











大 量 工 具 ， 用 于 发 现 这 些 问 题 并 追溯 它们 的 源 涉 。 本 章 将 讨论 一 些 常 见 
的 网 络 问题 ， 以 及 可 以 用 来 解决 这 些 问题 的 工具 。 

最 常见 的 网 络 连接 问题 通常 属于 下 列 4 种 之 一 。 

> 协议 功能 障碍 或 配置 错误 : 协议 软件 不 工作 不管 是 什么 原 
因 ) 或 配置 不 正确 。 

线路 问题 : 某 段 电缆 没 插 上 或 有 故障 。 某 个 HUB、 路 由 器 或 交 
换 机 不 工作 。 

> 名 称 解 析 有 误 : DNS 或 NetBIOS 名 称 无 法 被 解析 。 资 源 可 以 通 
过 IP 地 址 访问 ， 但 无 法 通过 主机 名 或 DNS 名 称 访问 。 

> 线路 堵塞 网 络 似乎 还 在 工作 ， 但 运行 缓慢 。 

下 面 几 市 将 讨论 解决 这 些 常见 连通 性 问题 的 工具 和 技术 。 


14.2 协议 功能 障碍 和 配置 错误 


如 同 任何 软件 一 样 ，TCP/IP 协 议 软 件 有 时 也 会 出 现 安装 不 当 的 情 
况 。 就 算 安 装 好 了 ， 它 也 会 因为 文件 受 损 或 系统 配置 改变 而 无 法 工作 。 
例如 ， 即 使 该 软件 正在 工作 ， 计 算 机 也 可 能 因为 其 IP 地 址 和 子 网 掩 码 不 
正确 而 无 法 连接 到 其 他 计算 机 。 

TCP/IP 协 议 秘 提供 了 如 下 所 示 的 大 量 实用 工具 ， 可 以 帮助 你 检测 
TCP/IP 是 否 运 作 正 常 或 配置 是 否 正确 。 

> ping: 这 是 个 极其 有 用 的 诊断 工具 ， 通 过 发 起 一 个 简单 的 网 络 
连通 性 测试 ， 报 告 其 他 计算 机 的 回应 情况 。 

> 配置 信息 工具 : 每 个 操作 系统 厂商 都 会 提供 一 些 工具 用 于 显示 
TCP/IP 的 配置 信息 ， 并 帮助 你 检查 IP 地 址 、 子 网 掩 码 、DNS 服 务 器 和 其 
他 参数 是 否 配置 正确 。 

> arp: 该 功能 可 以 用 来 查看 和 配置 ARP 缓 存 〈 见 第 4 章 ) 的 内 
容 ， 这 些 内 容 可 以 将 IP 地 址 和 物理 地 址 (MAC 地址 〉 关联 起 来 。 

这 些 工 具 已 经 成 为 所 有 操作 系统 实现 TCP/IP 时 的 标 配 。 下 面 我 们 
开始 介绍 这 些 重要 的 TCP/IP 配 置 工具 。 

14.2.1 ping 

如 果 您 发 现 计算 机 无 法 完成 某 项 网 络 操作 ， 应 该 想到 的 第 一 个 问题 
就 是 : 它 是 人 否 能 完成 其 他 网 络 操作 ? 换 句 话说 ， 您 的 计算 机 还 是 当前 网 
络 中 的 一 员 吗 ? 使 用 ping 工 具 就 能 回答 这 个 问题 。 它 发 起 一 个 最 小 的 网 
络 连 通 性 测试 ， 发 送 一 则 消息 给 另 一 台 计 算 机 ， 就 好 像 在 说 “您 在 那里 
中? ”， 然 后 等 待 那 台 计算 机 的 回应 。 

注意 : ping 名 称 的 由 来 
































ping 这 个 名 字 起 源 于 声 纳 技 术 ， 该 技术 帮助 潜艇 或 舰艇 定位 其 他 物 
体 。 单 词 ping 是 数据 包 Internet 人 查询 工具 (Packet Internet Groper) 的 缩 


ping 命 令 的 基本 形式 如 下 : 

ping <IP 地 址 > 

这 里 的 “JP 地 址 ”为 你 想 要 连接 的 计算 机 的 地 址 。 和 其 他 工具 一 样 ， 
ping 工 具 还 提供 大 量 附加 的 命令 行 选项 。 根 据 实现 和 操作 系统 的 不 同 ， 
这 些 选项 会 有 所 不 同 。 

ping 工 具 使 用 ICMP Echo Request 命 令 (有 关 ICMP 的 更 多 信息 ， 请 
见 第 4 章 ) ， 向 接收 方 计算 机 发 送 一 条 消息 。 如 果 接 收 方 计算 机 存在 并 
运行 正常 ， 它 将 以 ICMP Echo Reply 消 息 方式 作出 响应 。 
当 发 送 方 计算 机 收 到 回复 时 ， 它 会 输出 一 条 消息 ， 说 明 ping 成 功 


成 功 执行 完 ping 命 令 ， 说 明 接 收 方 和 发 送 方 计算 机 都 在 网 络 上 且 可 
以 相互 通信 。 但 是 请 注意 ，ping 只 是 一 种 最 低 限 度 的 网 络 应 用 ， 它 仅 要 
求 TCP/IP 栈 底部 两 层 〈 也 即 OSI 栈 的 底部 3 层 〉 可 以 使 用 。 您 的 问题 可 
能 出 现在 TCP、UDP 或 较 高 两 层 中 的 应 用 上 ， 但 此 时 ping 仍 然 会 成 
功 。 如 果 ping 运 行 正确 ， 就 基本 上 能 排除 问题 出 现在 网 络 访问 层 、 网 络 
适配器 、 电 绕 甚 至 路 由 器 上 了 了。 

ping 提供 的 一 系列 选项 使 它 在 网 络 故障 诊断 方面 特别 有 用 。 您 可 以 
用 如 下 方式 使 用 ping。 

使 用 一 个 被 称 为 环 回 地 址 〈127.0.0.1) 的 特殊 地 址 来 ping 本 地 IP 
ny 

常 。 




















> ping 你 目 己 的 卫 地 址 〈 束 是 ping 你 自己) 。 如 果 能 ping 通 分 配 
给 你 的 网 络 适配器 的 IP 地 址 ， 则 说 明 该 适配器 配置 正确 ， 并 且 可 以 与 
TCP/IP 软 件 交 互 。 

> ping 主 机 名 。 绝 大 多 数 系统 允许 在 ping 命 令 中 使 用 主机 名 来 蔡 
代 相 应 的 IP 地 址 。 如 果 使 用 IP 地 址 可 以 ping 通 某 台 计算 机 ， 却 无 法 通过 
其 主机 名 ping 通 ， 则 可 以 推断 问题 一 定 和 名 称 解析 有 关 。 

在 一 个 典型 的 排 错 场景 中 ， 网 络 管理 员 会 执行 如 下 ping 命 令 。 

1. ping 环 回 地 址 〈127.0.0.1) ， 检 测 TCP/IP 软 件 在 本 地 计算 机 上 是 
否 工 作 正 常 。 

2. ping 本 地 IP 地 址 ， 检 测 网 络 适 配器 是 否 运行 正常 ， 以 及 本 地 IP 
地 址 配置 是 否 正常 。 

3. ping 默认 网 关 ， 检 测 当前 计算 机 是 否 可 以 与 本 地 子 网 通信 ， 以 
及 默认 网 关 是 否 在 线 。 








4. ping 默 认 网 关 之 外 的 某 个 地 址 ， 检 测 该 网 关 是 否 能 将 数据 包 转 
发 出 本 地 网 段 。 
人 

弟 。 

有 些 管 理 员 更 喜欢 以 相反 的 顺序 来 应 用 这 些 步 又 ， 也 就 是 先 检测 
Intemet， 最 后 再 检测 换 回 地 址 。 无 论 哪 种 情况 ， 其 目的 都 是 相同 的 ， 即 
找 出 通信 中 断 的 地 方 。 上 述 步骤 是 查找 网 络 故 障 的 民 好 开端 ， 也 许 执行 
后 还 找 不 到 网 络 故 隐 所 在 ， 但 至 少 可 以 从 执行 结果 中 找到 故障 线索 。 

注意 : ping 命 令 输出 结果 详解 

依据 实现 的 不 同 ，ping 命 令 的 输出 也 是 不 同 的 。 在 某 些 系统 中 (如 
Slolaris 系 统 ) ， 只 会 输出 一 行 来 表示 被 叫 地 址 正常 。 在 某 些 Linux 版 本 
(默认 安装 ) 中 ，ping 会 不 停 发 送 ICMP 数据 包 并 不 停 输出 数据 包 啊 应 
信息 ， 直 到 使 用 Ctrl+C 组 合 键 强行 终止 。 在 Windows 系 统 中 ， 通 常会 发 
送 4 个 ICMP Echo Request 并 输出 4 个 啊 应 。 其 实 发 送 4 个 Echo Request 
消息 却 只 收 到 3 个 或 更 少 回 应 信息 的 情况 并 不 少见 ， 但 这 种 接收 数据 量 
的 侦 尔 下 降 可 不 是 因为 网 络 出 错 ， 因 为 ICMP 协 议 本 号 并 不 保证 传输 正 
确 ， 不 过 ， 于 失 啊 应 信息 可 以 说 明 当 前 的 网 络 十 分 拥挤 。 尺 管 有 时 会 丢 
失 部 分 啊 应 信息 ， 但 是 在 大 多 数 情 况 下 ，ping 命 令 执行 的 结果 都 是 收 到 
所 有 的 啊 应 信息 (说 明 连 接 正 常 )， 或 丢失 全 部 啊 应 信息 (说 明 连 接 有 
UR 

某 些 版 本 的 ping 工具 还 会 显示 一 个 以 坚 秒 为 单位 的 时 间 信 息 ， 表 
示 从 发 出 Echo Request 消 息 到 收 到 Echo Reply 消 息 之 间 的 时 间 间 隔 。 当 
这 个 时 间 较 短 时 ， 表 明 数 据 报 没有 经 过 太 多 路 由 器 或 速度 绥 慢 的 网 络 ， 
如 有 果 ping 啊 应 返回 的 TIL 值 接近 零 ， 则 可 能 说 明 当 前 连接 可 能 接近 于 
TTL 的 阐 值 ， 而 且 部 分 包 可 能 被 丢弃 或 重新 发 送 。 

14.2.2 音 恩 工具 


所 有 现代 操作 系统 都 会 提供 查看 当前 TCP/IP 配置 的 工具 。 这 些 工 
有 具 会 输出 本 地 计算 机 的 耳 地 址 、 子 网 掩 码 和 默认 网 关 等 信息 ， 使 用 这 些 
工具 还 可 以 检验 计算 机 的 IP 地 址 信息 是 否 与 你 期 望 的 相同 。 随 着 DHCP 
的 日 渐 流 行 ， 从 配置 文件 或 设置 对 话 框 中 并 不 总 能 确定 IP 地 址 信息 ， 而 
配置 信息 工具 则 可 以 显示 计算 机 当前 实际 使 用 的 IP 地 址 。 如 果 您 的 计算 
机 被 配置 为 使 用 DHCP 来 分 配 IP 地 址 ， 那 么 你 甚至 会 发 现 该 计算 机 没有 
IP 地 址 ， 这 说 明 与 DHCP 服 务 器 的 连接 发 生 了 错误 。 

当然 ， 这 些 工 具 不 会 告诉 你 ， 你 的 IP 地 址 和 子 网 掩 码 应 该 是 什么 ， 
它们 只 是 告知 你 的 计算 机 当前 使 用 什么 IP 地 址 和 子 网 掩 码 ， 然 后 由 您 来 
验证 地 址 参数 是 否 与 当前 网 络 的 IP 寻 址 方案 (请 见 第 5 章 和 第 6 章 ) 一 






































致 。 

UNIX 和 Linux 系 统 使 用 ifconfig 命 令 来 显示 地 址 信息 。 前 几 章 中 讲 
过 ， 耳 地址 实际 上 是 与 网 络 接口 〈 例 如 网 络 适 配 卡 ) 关联 ， 而 不 是 计算 
机 本 号 。 如 果 一 合计 算 机 拥有 两 个 网 络 接口 ， 就 会 拥有 两 个 耻 地 址 。 
ifconfig 命 令 会 根据 不 同 的 网 络 接口 显示 地 址 信息 。 

要 想 使 用 ifconfig 显 示 IP 地 址 信息 ， 输 入 如 下 命令 : 

ifconfig < 接口 名 称 > 

这 里 的 < 接口 名 称 > 指 的 是 要 显示 IP 地 址 信息 的 网 络 接口 (在 UNIX 
和 Linux 系 统 中 ， 每 个 网 络 接口 都 由 配置 文件 〈 它 定义 了 接口 ) 分 配 了 
一 个 名 称 ， 并 使 用 该 名 称 来 引用 这 些 接口 ) 。 例 如 : 

ifconfig eth0 

执行 该 命令 将 显示 名 为 eth0 的 网 络 接口 的 当前 下地 址 和 子 网 掩 但 

《根据 UNIX 和 Linux 版 本 的 不 同 ， 有 时 还 会 显示 出 其 他 参数 ) 。 

直接 在 ifconfig 命 令 行 中 写 入 IP 地 址 和 子 网 掩 码 ， 即 可 直接 配置 对 应 
网 络 接口 的 IP 地 址 : 

ifconfig eth0 <IP 地 址 > netmask < 网 络 掩 码 > 

这 里 的 <IP 地 址 > 和 < 网 络 掩 码 > 分 别 是 指 网 络 接 口 eth0 的 IP 地 址 和 网 
络 掩 人 码 。 

使 用 ifconfig 的 up 和 down 选 项 ， 可 以 局 用 和 禁用 相应 的 网 络 接口 。 
例如 : 

ifconfig eth0 up 

ifconfig eth0 down 

还 有 其 他 的 ifconfig 选 项 可 以 使 用 ， 不 同 版 本 的 情况 会 有 所 不 同 。 有 
关 ifconfig 命 令 的 更 多 细节 ， 可 以 查看 UNIX/Linux 系 统 中 的 ifconfig man 
页 面 ， 如 下 所 示 : 

man ifconfig 

Windows 系 统 使 用 ipconfig 命 令 来 显示 本 地 的 TCP/IP 配 置 情况 。 

输入 ipconfig /? 可 列 出 记 config 的 所 有 选项 。 下 面 列 出 了 一 些 重要 
的 选项 。 

> Default (无 参数 ) : 当 ipconfig 没 有 应 用 选项 时 ， 将 会 显示 每 个 

配置 接口 的 也 地 址 、 子 网 掩 码 和 默认 网 关 ， 如 图 14.1 上 半 部 分 所 示 。 





:\»ipconfig 
indowe NT IP Configuration 
thernet adapter Elnk31: 
IP ARddrvss : 132.53.68.200 


Subnet Hask . . .. 230 
Default 6atewad ,， : 192.59.66.1 


'\»ipconfig /all 


indouws NT IP Configuration 


Host Name . -。 : instructor .earthlink .net 
DNS Servers . . .. 


Node Type ， 

NotBIOS Scope 10， 

lp Routing Enableod 

WINS Proxy Enabled 

NetBI05S Resolution Uses DNS 





医 khernert ageaprer Enk3T1; 


Description 和) ; : ELNK3 Ethernet hdapter 
Physical Address. . - : 60-20-AF-27-88-B5 
DHCP Enabled. . . A 

IP Address. . .. .0 

Subnet Mask 5,255,255.0 

Default Gateuay 4 ， 92.59.86.1 





图 14.1 ipconfig 和 ipconfig/al 命令 和 执行 


> all: 当 使 用 al 选项 时 〈ipconfig /all〉，ipconfig 命 令 将 显示 一 些 
额外 信息 ， 比 如 所 使 用 的 DNS 和 WINS 服 务 器 的 IP 地 址 ， 以 及 本 地 网 络 
适配器 的 物理 地 址 (MAC 地 址 ) 。 如 果 地 址 是 从 DHCP 服 务 器 租用 的 ， 
ipconfig 将 显示 DHCP 服 务 器 的 地 址 和 租赁 到 期 的 日 期 。 

> release 或 renew: 只 有 在 计算 机 从 DHCP 服 务 嚣 中 租用 IP 地 址 
时 ， 这 些 可 选 参数 才 工 作 。 如 果 执 行 ipconfig /release， 从 DHCP 服 务 器 
上 租用 的 IP 地 址 将 被 释放 。 反 之 ， 如 果 执 行 ipconfig /renew， 本 地 计算 
机 会 试图 连接 一 个 DHCP 服 务 器 并 租用 一 个 IP 地 址 。 请 注意 ， 在 大 多 数 
情况 下 ， 网 络 适 配 颖 会 重新 分 配给 计算 机 一 个 和 之 前 相同 的 耳 地 址 。 

注意 : release 和 renew 

当 一 人 台 计 算 机 拥有 多 个 网 络 适 配器 时 ，release 和 renew 选 项 每 次 可 
以 释放 或 重新 租用 一 个 适配器 的 地 址 。 假 设 其 中 一 个 网 络 适 配器 叫做 
Elnk31， 则 这 个 网 络 适 配 右 可 以 用 ipconfig /release Elnk31 或 ipconfig 
/renew Elnk31 命 令 来 释放 或 重新 租用 其 地 址 。 

Mac OS XX 通过 System Preferences 〈 见 图 14.2〉 中 的 Network 应 用 程 
序 显示 网 络 配置 信息 。 由 于 Mac OS X 实 际 上 是 一 种 UNIX 系 统 ， 所 以 也 





可 以 通过 在 Terminal 窗 口中 输入 ifconfig 来 查看 网 络 配置 。 


| @AM Network 
- 国 人 ;| 
Show Al Displays Sound Network Sartup Disk 
Location: Automatic | 
Show: AirPorr ee 


AirPort TCPp/IPp AppleTalk Proxies 


Configure IPv4; Using DHCP er 
iP Address: 192.168.1.3 ( Renew DHCP Lease 
Subnet Mask: 255.255.255.0 DHCP Client ID 
(reqwired) 
Router 192.168.1.1 
DNS Servers | IOptionag) 
Search Domains {Optiona) 


IPvy6 Address: fe80:0000;0000;0000;0211;24 作 felf3608 


(Configure IPv6 } ?) 





i 外 Clck the lock to prevent further changes Assist me 





图 14.2 Mac OS X Network 应 用 程序 可 以 查看 网 络 配 置 


14.2.3 地 址 解析 协议 


ARP 是 一 种 重要 的 TCP/IP 协 议 ， 用 来 确定 与 某 一 IP 地 址 相对 应 的 物 
理 (MAC) 地 址 。TCP/IP 网 络 上 的 每 台 主机 都 维护 着 一 个 ARP 绥 存 ， 
即 一 张 用 来 关联 IP 地 址 和 物理 地 址 的 表 。arp 命 令 可 以 帮助 你 了 解 本 地 计 
算 机 或 其 他 计算 机 ARP 绥 存 中 当前 的 内 容 。 在 大 多 数 情 况 下 ， 协 议 软件 
会 更 新 ARP 绥 存 ， 而 很 少 需要 你 使 用 arp 命 令 来 检测 网 络 连通 性 问题 。 
但 是 ， 在 追踪 与 卫 地 址 和 物理 地 址 关联 相关 的 微妙 问题 时 ，arp 命 令 偶尔 
还 是 很 有 用 的 。 

arp 命 令 还 可 以 帮助 你 手动 输入 想得到 的 物理 /IP 地 址 对 。 系 统管 理 
员 有 时 需要 为 经 常 使 用 的 主机 《比如 默认 网 关 和 本 地 服务 器 ) 手动 输入 
op 这 种 方法 有 助 于 减少 网 络 流量 (尽管 在 小 型 网 络 中 ， 这 是 没 

必要 的 ) 。 











ARP 绥 存 内 的 条 目 在 默认 情况 下 是 动态 的 ， 每 当 发 送 一 个 定 同 数据 
报 且 目的 计算 机 的 ARP 绥 存 中 不 存在 当前 条 目 时 ， 相 应 的 条 目 就 会 被 自 
动 加 入 到 缓存 中 。 一 旦 它们 进入 ， 组 存 条 目 就 开始 计时 并 在 计时 期 满 后 
删除 。 因 此 ， 如 果 您 发 现 ARP 绥 存 中 只 有 很 少 或 根本 没有 条 目 时 也 不 必 
惊讶 ， 当 ping 其 他 计算 机 或 路 由 器 时 ， 会 自动 加 入 和 条目。 下 面 arp 命 令 可 
以 用 来 查看 缓存 条 目 。 

> arp -a: 使 用 这 条 命令 可 查看 所 有 的 ARP 绥 存 条 目 。 
> arp -g: 使 用 这 条 命令 可 人 查看 所 有 的 ARP 绥 存 条 目 。 

注意 : 显示 ARP 绥 存 条 目 

arp -a 和 arp-g 都 可 以 使 用 。-g 选 项 显示 全 部 ARP 绥 存 记 录 ， 多 年 来 
一 直 在 UNIX 平 台 上 使 用 。Windows 使 用 arp -a( 把 -a 看 作 al) ， 但 是 它 
也 接受 比较 传统 的 -g 选 项 。 

> arp -a IP 地 址 : 如 果 有 多 个 网 络 适 配器 ， 则 可 以 通过 执行 arp -a 
加 这 个 网 络 接口 的 耳 地 址 的 方式 ， 只 碍 看 某 个 网 络 接口 的 ARP 绥 存 条 
目 ， 例 如 arp -a 192.59.66.200。 

> arp -s: 可 以 问 ARP 缓 存 手动 添加 一 个 永久 性 的 静态 条 目 。 就 算 
计算 机 重新 启动 ， 该 条 目 都 一 直 有 效 ， 而 且 如 果 在 应 用 手动 配置 的 物理 
地 址 时 发 生 错 误 ， 该 内 容 会 自动 更 新 。 例 如 ， 要 想 手动 为 了 地址 
192.59.66.250 和 物理 地 址 0080C7E07EC5 的 服务 器 添加 一 个 条 目 ， 可 输 
入 arp -s 192.59.66.250 00-80-C7-E0-7E-C5。 

> arp -d IP 地 址 : 这 个 命令 用 于 手动 删除 手动 输入 的 一 个 静态 条 
目 。 例 如 ， 输 入 arp -d192.59.66.250。 

图 14.3 显 示 的 是 arp 命 令 和 执行 结果 的 示例 。 

















区， NarP “a 
ARP Entris6 Found 


ping 192.59.66.250 


inging 192.59.66.250 with 32 byteo of data: 






meply from 192 .59.66.256; byte0s32 timo<iOno TTL*128 
Reply fron 192 .59,.66,250, byteo*32 timoc¢iOne TTL:128 
Mmeply from 192 .59 66,250: bytess32 timoc<iOne TTL:128 
opiy from 192.59.66.256; bytess32 timoc<iOns TTL:128 


:\Sarp “a 
Interfece: 192 .59.66.2006 on Interface 2 
Internet hddreo6 Phyoical hddreoc6 
192 .59.66.250 900-80-c7T-e0-76-c5 
Narp -6 192.59.66,250 O00-"80*C7-E0*7E*CS 
AN》arPp “a 
Interface: 192.59 .66,200 on Interface 2 
Internet hddre6e Physical hddrece Tupe 
192.59.66 .256 99e-86-c7T-e0-7Te-c5 Static 
:Warp -dd 192.59.66.250 


:Narp “a 
No RP Entries Found 





\)» 


图 14.3 arp 命 令 和 执行 结 
14.3 线路 问题 


网 络 HUB 或 电缆 的 问题 并 不 是 真正 的 TCP/ 了 问题。 但 是 ， 仍 然 可 以 
运用 TCP/IP 诊 断 工 具 〈 比 如 ping) 来 诊断 线路 问题 。 一 般 来 说 ， 如 果 网 
络 在 正常 工作 时 突然 中 断 ， 往 往 都 是 线路 问题 的 原因 。 这 时 需要 确认 所 
有 网 络 电缆 均 已 被 正确 插入 。 绝 大 多 数 网 卡 、HUB 和 路 由 塔 都 有 显示 灯 
来 表明 它们 是 否 开局 ， 以 及 是 否 准备 好 接收 数据 。HUB、 路 由 堪 或 交换 
机 的 每 个 端口 都 有 一 个 链 路 状态 灯 ， 显 示 相 应 端口 是 否 有 活动 的 网 络 连 
接 。 有 一 些 工 具 专门 测试 网 络 布线 。 如 果 没 有 电缆 检测 工具 ， 也 可 以 拔 
掉 可 疑 电 统 ， 换 上 新 电 统 ， 看 看 是 不 是 解决 了 问题 。 

你 也 可 以 使 用 ping 前面 已 经 讲 过 ) 来 排查 线路 问题 。 如 果 一 台 计 
算 机 可 以 ping 通 自己 的 地 址 ， 但 无 法 ping 通 网 络 中 的 其 他 任意 地 址 ， 问 
题 则 可 能 出 现在 计算 机 和 本 地 子 网 的 连接 电线 部 分 。 


14.4 名 称 解 析 问 题 


当 东 个 消 恩 要 去 往 的 主机 名 不 能 在 网 络 中 被 解析 时 ， 会 出 现 名 称 解 











析 问 题 。 名 称 解 析 问 题 不 能 算是 连通 性 问题 ， 因 为 发 生 这 类 问题 并 不 一 
定 意味 着 源 计 算 机 连接 不 上 目标 计算 机 。 实 际 上 ， 正 如 前 面 一 节 提 及 的 
那样 ， 名 称 解 析 问 题 最 常见 的 症状 是 源 计算 机 可 以 连接 到 目标 计算 机 的 
IP 地 址 ， 但 却 无 法 用 目标 计算 机 的 名 字 来 进行 连接 。 尺 管 在 严格 意义 上 
说 ， 名 称 解析 问题 不 能 算是 连通 性 问题 ， 但 作为 一 个 实际 的 问题 ， 如 

今 ， 网 络 中 的 资源 经 常用 主机 名 或 NetBIOS 名 称 来 进行 引用 ， 而 当 你 第 
一 次 党 试 连 接 到 某 一 主机 时 ， 也 经 浓 会 使 用 主机 名 。 如 果 连 接 失 败 ， 如 
应 该 实施 我 们 之 前 讨论 ping 命 令 时 提 到 的 故障 诊断 步骤 了 。 如 果 仍 然 可 
以 通过 IP 地 址 进行 连接 ， 那 么 就 可 能 遇 到 了 名 称 解析 问题 。 

当 您 考虑 了 名 称 解析 《〈 见 第 10 章 ) 的 过 程 后 时 ， 许 多 常见 的 名 称 
解析 问题 就 很 容易 发 现 了 。 下 面 列 出 了 一 些 和 常见 原因 。 

> 主机 文件 丢失 或 不 正确 。 

> 名 称 服务 器 离线 。 

> 在 客户 端 配置 中 ， 名 称 服务 器 没有 被 正确 引用 。 

> 设法 连接 的 主机 在 名 称 服 务 器 中 没有 记录 。 

> 命令 中 使 用 的 主机 名 不 正确 。 

如 果 无 法 根据 主机 名 连接 到 某 台 计算 机 ， 可 以 先 试 试 连接 其 他 的 计 
算 机 。 如 果 用 主机 名 连接 到 了 计算 机 A， 却 无 法 连接 到 计算 机 B， 则 问 
题 可 能 在 于 计算 机 B 和 和 它 的 名 称 服务 引用 方式 。 如 果 计 算 机 A 和 计算 机 了 B 
均 连 接 失 败 ， 则 可 能 是 名 称 服务 设备 发 生 了 一 般 性 故障 。 

如 果 发 现在 使 用 一 台 名 称 服 务 器 的 网 络 上 出 现 了 名 称 解析 问题 ， 最 
好 通过 ping 命 令 来 确认 这 人 台 服 务 吉 是 否 在 线 。 如 果 该 名 称 服务 器 在 本 地 
子 网 之 外 ， 要 先 ping 网 天 ， 以 确认 名 称 解析 请 求 可 以 抵达 名 称 服务 右 ， 
还 要 仔细 检查 您 输入 的 资源 名 称 ， 以 确保 正确 。 如 果 上 述 措施 都 无 法 解 
决 问题 ， 则 可 以 利用 nslookup 工 具 查 询 名 称 服 务 器 的 具体 条 目 。 有 关 
nslookup 和 其 他 DNS 工具 的 详情 ， 请 见 第 10 章 。 

如 果 不 知 道 自己 所 用 计算 机 的 主机 名 ， 请 使 用 hostname 命令 。 大 
多 数 操作 系统 都 文 持 hostname 命 令 ， 这 个 简单 的 命令 可 以 返回 本 地 计算 
机 的 主机 名 。hostname 命 令 不 需要 任何 参数 或 选项 ， 只 需 输入 hostname 
命令 ， 然 后 得 看 它 返 回 的 那 一 行 结果 即 可 。 

















网 络 性 能 问题 导致 网 络 啊 应 缓慢 。 因 为 TCP/IP 协 议 通 常 使 用 
TTL (生存 周期 ) 设置 来 限制 数据 包 在 网 络 上 的 传输 时 间 ， 绥 慢 的 网 络 
性 能 会 导致 数据 包 丢 失 及 失去 连通 性 。 就 算 连 接 没 有 断 开 ， 绥 慢 的 网 络 
性 能 也 是 降低 生产 效率 的 一 个 因素 和 根源 。 通 常 导 致 网 络 性 能 变 差 的 原 





因 是 流量 过 度 ， 流 量 过 上 度 的 原因 可 能 是 网 络 上 存在 过 多 计算 机 ， 也 可 能 
是 设备 故障 。 例 如 ， 一 块 网 卡 在 网 络 出 现 广 播 风 暴 时 ， 就 会 产生 大 量 不 
必要 的 网 络 流量 。 有 时 导致 网 络 性 能 下 降 的 原因 是 ， 某 个 产生 故障 的 路 
由 需 停 止 转发 网 络 流量 ， 导 致 网 络 传输 出 现 瓶 祷 。 

TCP/IP 协 议 提 供 了 大 量 用 于 查看 数据 包 流 同和 显示 网 络 性 能 统计 的 
工具 。 下 面 我 们 就 来 讨论 这 些 工 具 。 


14.5.1 traceroute 


traceroute 工具 用 于 跟踪 数据 报 的 传输 路 径 : 当 数 据 报 从 一 台 计 算 
机 传 回 另 一 台 计 算 机 时 ， 会 经 过 多 重 的 网 关 ， 通 过 traceroute 工 具 跟 踩 到 
的 传输 路 径 只 是 这 两 台 计 算 机 之 间 众 多 通路 中 的 一 条 ， 所 以 不 能 肯定 或 
假设 数据 报 会 永远 只 走 这 一 条 通路 。 如 果 你 的 计算 机 使 用 的 是 DNS， 您 
还 会 经 常 从 返回 结果 中 辨认 出 城市 、 地 区 和 运营 两 的 名 称 。traceroute 是 
一 条 绥 慢 的 命令 ， 因 为 每 经 过 一 台 路 由 器 都 要 花 去 大 约 10 一 15 秒 。 

traceroute (Windows 系 统 下 是 tracert) 命令 利用 ICMP 协 议定 位 你 的 
客户 端 计算 机 和 目的 计算 机 之 间 的 所 有 路 由 器 。TTL 值 可 以 反映 数据 包 
经 过 的 路 由 器 或 网 关 的 数量 ， 通 过 操作 原始 的 ICMP Echo 消息 中 使 用 的 
0 traceroute 命 令 能 够 找到 数据 包 传 输 路 径 上 的 所 有 路 由 堪 ， 其 过 
Ws 

1. 将 传递 到 目的 IP 地 址 的 ICMP Echo 消 息 的 TIL 值 被 设置 为 1， 
该 消息 报 经 过 第 一 个 路 由 器 时 ， 其 TTL 值 减 去 1， 此 时 新 产生 的 TTL 值 为 


0。 

2. 由 于 TTL 值 被 置 为 0， 路 由 器 判断 此 时 不 应 该 尝试 继续 转发 数 
据 报 ， 而 是 直接 抛弃 该 数据 报 。 由 于 数据 报 的 生存 周期 CTIL 值 ) 已 经 
到 期 ， 这 个 路 由 器 会 发 送 过 一 个 ICMP 时 间 超 时 ， 即 TIL 值 过 期 信息 返 
回 到 客户 端 计 算 机 。 

3. 此 时 ， 发 出 traceroute 命 令 的 客户 端 计算 机 将 显示 该 路 由 器 的 名 
称 ， 之 后 可 以 再 发 送 一 个 ICMP Echo 消息 并 把 TTL 值 设置 为 2。 

4. 第 1 个 路 由 器 仍然 对 这 个 TIL 值 减 1， 然 后 ， 如 果 可 能 的 话 ， 将 
这 个 数据 报 转 发 到 传输 路 径 上 的 下 一 跳 。 当 数据 报 抵达 第 2 个 路 由 器 ， 
TTL 值 会 再 被 减 去 1， 成 为 0 值 。 

5. 第 2 个 路 由 器 会 像 第 1 个 路 由 器 一 样 ， 抛 弃 掉 这 个 数据 包 ， 并 像 
第 1 个 路 由 器 那样 返回 一 个 ICMP 消 息 。 

6. 该 过 程 会 一 直 持 续 ，traceroute 命 令 不 停 递 增 TTL 值 ， 而 传输 路 
径 上 的 路 由 器 不 断 递减 该 值 ， 直 到 数据 报 最终 抵 达 预 期 的 目的 地 。 

7. 当 目 的 计算 机 接收 到 ICMP Echo 消息 时 ， 会 回 传 一 个 ICMP 
Echo Reply 消 息 。 

















除了 能 定位 传输 信息 罕 越 过 的 路 由 器 或 网 关 之 外 ，traceroute 命 令 还 
能 记录 数据 报 抵达 每 个 路 由 器 的 往返 时 间 。 根 据 实现 情况 ，traceroute 
命令 实际 上 可 能 会 给 每 个 路 由 堪 发 送 多 个 单独 的 Echo 消息 。 例 如 ， 在 
Windows 系 统 运行 的 版 本 (tracert〉 中 ， 会 给 每 个 路 由 器 发 送 两 个 额外 
的 Echo 消息 ， 这 样 可 以 更 精确 地 判断 数据 报 的 往返 时 间 。 

但 是 不 能 根据 该 往返 时 间 精 确 判 断 网 络 性 能 ， 因 为 许多 路 由 占 会 分 
ee 

隐 。 

traceroute 命 令 的 语法 ， 就 是 在 traceroute 后 面 加 上 一 个 也 地 址 、DNS 
名 称 或 者 是 URL: 

traceroute 198.137.240. 91 

traceroute www.whitehouse.gov 

tracert yahoo.com (在 Windows 系 统 上 ) 

traceroute 利 tracert 命 令 在 显示 数据 报 传输 路 径 方 面 很 有 用 ， 并 具有 
一 定 的 诊断 能 

14.5.2 route 


第 8 章 讲 到 ， 每 台 计 算 机 和 每 台 路 由 器 都 包含 一 张 路 由 表 。 绝 大 多 
数 路 由 器 均 使 用 专门 的 路 由 协议 来 交换 路 由 信息 ， 并 动态 地 定期 更 新 这 
ee 
添加 记录 。 

route 命 令 在 TCP/IP 网 络 中 有 许多 用 途 : 在 数据 包 没 有 有 效 传递 的 情 
况 下 ， 可 以 利用 route 命 令 显 示 路 由 表 ; 如 果 traceroute 命 令 揭 示 出 一 条 异 
常 或 低 效率 的 传输 路 径 ， 则 可 以 使 用 route 命 令 来 确认 为 何 选择 该 路 径 ， 
而 且 可 以 配置 一 个 更 有 效 的 路 由 。 

route 命 令 也 可 以 被 用 来 手动 添加 、 删 除 和 修改 路 由 表 中 的 条 目 ， 其 
选项 如 下 所 示 。 

> route print: route 命 令 的 这 个 形式 会 显示 路 由 表 中 的 当前 条 目 。 
图 14.4 中 显示 的 是 route print 命 令 的 输出 示例 。 可 以 看 到 ， 一 些 条 目 涉及 
了 不 同 网 络 ， 比 如 0.0.0.0、127.0.0.0 和 192.59.66.0; 一 些 条 目 用 于 广播 
(255.255.255.255 和 192.59.66.255) ; 还 有 一 些 用 于 多 播 
(224.0.0.0) 。 作 为 为 网 络 适 配器 配置 IP 地 址 的 结果 ， 所 有 这 些 条 目 都 
是 被 自动 添加 的 。 














NWroute print 


netive Routes 


Network Rddre55 Notmaok Gatowoy hddre95 Interface Moetric 
9.0.0.9 9.0.0.0 192.59,66.1 192.59,66.200 
127.0.0.0 255.0,0.0 127,0,0.1 127.9.9.1 
192.59.66.9 255 ,255 .255 .0 192.59 .66 .200 192.59,66,200 
192.59. .66,2080 255.255.255 .255 127.0,0.1 127.6.90,1 


192.59.66.255 255.255,255,255 192.59.66.200 192,59.66,209 


Po 


224.9.9.9 224.0.0.0 192.59.66.200 192.59.66.296 
255.255.255.255 255.255.255 .255 192.59.66.2060 192.59.66.200 





EK:\> 


图 14.4 route print 命 令 显 示 路 由 表 中 的 当前 信息 


> route add: 使 用 route 命 令 的 这 个 形式 ， 可 以 向 路 由 表 添 加 一 个 
新 的 路 由 条 目 。 例 如 ， 要 想 指 定 一 个 去 往 5 个 路 由 器 跳 数 之 外 的 目的 网 
络 207.34.17.0 的 路 由 ， 而 且 首 先 会 经 过 一 台 在 本 地 网 络 上 的 IP 地 址 为 
192.59.66.5 和 子 网 掩 码 为 255.255.255.224 的 路 由 器 ， 那 么 可 以 输入 如 下 
命令 : 

route add 207.34.17.0 mask 255.255.255.224 192.59.66.5 metric 5 
注意 : 只 是 临时 的 路 由 

由 这 种 方式 添加 的 路 由 信息 是 暂时 的 ， 一 旦 计算 机 或 路 由 器 重新 启 
动 ， 这 些 信息 就 会 消失 。 通 常 在 启动 脚本 中 会 有 一 系列 route add 命 令 ， 
这 样 每 次 计算 机 或 路 由 器 启动 时 相应 信息 就 会 被 再 次 应 用 。 

> route change: 可 以 使 用 这 个 语法 在 路 由 表 中 修改 条 目 。 下 面 的 
是 将 数据 的 传输 路 径 修改 到 男 一 台 路 由 器 ， 该 路 由 器 到 目的 距离 有 
3 吕 k: 

route change 207.34.17.0 mask 255.255.255.224 192.59.66.7 metric 3 

> route delete: 使 用 这 个 命令 语法 可 以 在 路 由 表 中 删除 一 个 条 








目 : 
route delete 207.34.17.0。 


14.5.3 netstat 


netstat 工 具 可 用 于 显示 与 IP、TCP、UDP 和 ICMP 协 议 相 关 的 统计 数 
据 。 这 些 统计 数据 展示 了 诸如 发 送 的 数据 报 、 接 收 的 数据 报 和 各 种 发 生 
过 的 错误 信息 的 数量 。 

如 果 在 接收 数据 报时 偶尔 出 现 报 错 、 丢 弃 或 接收 失败 ， 请 不 必 尺 
讶 。TCP/IP 协 议 可 以 允许 这 些 类 型 的 错误 ， 并 会 自动 重 发 数据 报 。 当 数 
据 报 被 传递 到 错误 位 置 时 将 被 抛弃 ， 如 果 你 的 计算 机 被 作为 路 由 器 ， 那 
么 当 某 数据 报 的 TITL 值 成 为 0 时 ， 也 会 将 其 抛弃 。 产 生 重 组 失败 的 情况 








是 : 在 已 收 到 分 组 中 的 TIL 值 限定 的 时 段 内 ， 分 组 没有 全 部 抵达 。 惑 像 
报错 和 数据 报 抛弃 一 样 ， 我 们 也 不 必 过 分 关注 偶尔 出 现 的 数据 报 重组 失 
败 。 但 是 在 上 述 3 种 情况 中 ， 如 果 宗 计 的 出 错 情况 次 数 占 到 所 接收 的 了 
数据 报 相 当 大 的 比例 ， 或 者 出 错 数量 正 迅 速 增 大 ， 那 么 我 们 束 应 该 检查 
亦 喜 爱 为 什么 会 出 现 这 些 情况 了 。 

下 面 介绍 netstat 命 令 的 各 种 选项 。 

> netstat -s: 这 个 选项 能 够 按照 各 个 协议 分 别 显示 统计 信息 。 如 
果 用 户 应 用 程序 〈 比 如 Web 浏 览 器 ) 看 起 来 异常 绥 慢 或 者 无 法 显示 网 页 
之 类 的 数据 ， 那 么 你 可 能 会 使 用 这 个 选项 来 查看 所 显示 的 信息 。 可 以 查 
看 统计 信息 行 ， 寻 找 error、discard 或 failure 这 样 的 单词 。 如 果 这 些 行 中 
的 计数 明显 与 所 接收 的 PP 数据 包 有 关 ， 则 需要 展开 进一步 的 检测 。 

> netstat -e: 使 用 这 个 选项 查看 关于 以 太 网 的 统计 数据 。 其 中 列 
出 的 条 目 包 括 总 字 节 数 、 错 误 数 、 抛 弃 数 、 定 回 数 据 报 的 数量 和 广播 数 
量 等 。 这 些 统计 数据 既 有 发 送 的 数据 报 数量 ， 又 有 接收 到 的 数据 报 数 


> netstat -r: 这 个 选项 用 于 显示 路 由 表 信 息 ， 其 显示 类 似 于 我 们 
之 前 学 到 过 的 routeprint 命 令 。 除 了 显示 活动 的 路 由 器 外 ， 还 可 以 显示 当 
前 活动 的 连接 。 
> netstat -a: 这 个 选项 用 于 查看 所 有 活动 连接 ， 包 括 已 建立 的 连 
接 和 那些 正在 监听 连接 请 求 的 连接 。 
下 列 3 个 选项 可 以 提供 netstat -a 命令 输出 结果 的 子 集 信息 。 
> netstat -n: 这 个 选项 显示 所 有 已 建立 的 活动 的 连接 。 
> netstat -p TCP: 这 个 选项 显示 已 建立 的 TCP 连 接 。 
> netstat -p UDP: 这 个 选项 显示 已 建立 的 UDP 连接 。 
图 14.5 所 示 为 netstat -s 命 令 所 显示 的 统计 信息 。 

















SCommand Prompt 


INVnetstat ~ 


IP Statistics 


PN 
< 


Packets Received 

Received Header Errors 
Received Address Errors 
Datagrams Forwarded 
Unknown Protocols Received 
Received Packets Discarded 
Received Packets Delivered 
Output Requests 

Routing Discards 

Discarded Output Packets 


-~ 
二 后 


Output Packet No Route 

Reassembly Required 

Reassembly Successful 

Reassembly Failures 

Datagrams Successfully Fragmented 
Datagrams Failing Fragmentation 
Fragments Created 


ws 
DOODOOOOOONAOOoOo0o0ou 


ICMP Statistics 








图 14.5 netstat 命令 显示 各 个 协议 的 统计 信息 


14.5.4 nbtstat 


在 第 10 章 讲 到 ，NetBIOS 是 许多 早期 Windows 网 络 中 使 用 的 名 称 
解析 系统 。nbtstat (NetBIOS over TCP/IP statistics) 工具 用 于 查看 在 
TCP/IP 协 议 之 上 运行 NetBIOS 服 务 的 统计 信息 ， 并 可 以 查看 本 地 或 远程 
计算 机 上 的 NetBIOS 名 称 列表 。 

下 面 介绍 的 命令 选项 用 于 本 地 计算 机 。 

> nbtstat -r: 该 命令 可 以 清除 并 重 载 NetBIOS 名 称 缓存 。 这 样 做 是 
LMHosts 文 件 中 最 近 添 加 的 记录 (LMHosts 条 目 在 第 10 章 中 有 
讲解 ) 

> nbtstat -n: 该 命令 显示 在 本 地 计算 机 上 注册 的 名 称 和 服务 。 

> nbtstat -c: 该 命令 显示 NetBIOS 名 称 缓存 中 的 内 容 。NetBIOS 名 
称 缓存 储存 着 当前 正在 与 之 通信 的 计算 机 的 NetBIOS 名 称 与 PP 地 址 对 。 

> nbtstat -r: 该 命令 显示 其 他 计算 机 在 本 地 注册 和 解析 名 称 的 数 
量 ， 以 及 是 否 通 过 广播 或 名 彩 尔 服 务 器 进行 过 才 注 册 和 解析 。 

图 14.6 为 nbtstat 命 令 的 输出 实例 。 














nbtstat 命 令 也 可 以 用 来 查看 远程 计算 机 的 NetBIOS 名 称 缓存 ， 其 输 
出 类 似 于 在 本 地 计算 机 上 执行 nbtstat -命令 。 

> nbtstat -A <IP 地 址 >: 显示 该 IP 地 址 引用 的 计算 机 的 名 称 列表 

(其 中 包含 该 计算 机 的 物理 地 址 〉。 

> nbtstat -a <NetBIOS 名 称 >: 显示 该 NetBIOS 名 称 引 用 的 计算 机 
的 名 称 列表 (其 中 包含 该 计算 机 的 物理 地 址 〉。 

同 理 ， 另 两 个 nbtstat 命 令 选项 可 以 查看 远程 计算 机 开启 的 NetBIOS 
连接 列表 ， 这 个 列表 被 称 为 连接 列表 : 

> nbtstat -S <IP 地 址 >: 显示 该 IP 地址 引用 的 计算 机 的 NetBIOS 连 





接 列 表 。 
> nbtstat -s <NetBIOS 名 称 >: 显示 该 NetBIOS 名 称 引 用 的 计算 机 
的 NetBIOS 会 话 列表 。 


5 Command Prompt 


:N>nbtstat -~n 
ode Iphddress: [192.59.66.288] Scope Id: [] 
NetBIOS Local Name Table 
Status 


《99> UNIOUE Registered 
《26> UNIQUE Registered 
《99> GROUP Registered 
《93> UNIQUE Registered 
《1E> GROUP Registered 
INet~Seruices 《1C> GROUP Reoistered 
IS~INSTRUCTORX.<60> UNIOUE Registered 


:\>nbtstat -R 


uccessfuyl purge and preload of the NBT Remote Cache Name Table. 


:\> 








图 14.6 nbtstat 命 令 以 及 啊 应 
14.5.5 协议 分 析 器 
被 称 为 协议 分 析 器 或 数据 包 嗅 探 器 的 工具 可 以 从 网 络 中 捕捉 数据 并 
储存 在 缓冲 区 或 文件 中 。 捕 获 到 这 些 数据 后 ， 就 可 以 逐一 查看 每 帧 或 每 
个 数据 报 的 内 容 。 在 处 理 网 络 流量 这 类 微妙 的 问题 中 ， 协 议 分 析 器 非常 
有 用 。 利 用 协议 分 析 器 还 可 以 寻找 可 能 来 自 故 障 设备 的 错误 数据 源 ， 或 


根据 物理 地 址 跟踪 一 个 以 太 网 数据 帧 ， 或 通过 分 析 来 自 各 个 协议 层 的 报 
头 信 息 来 寻找 线索 。 

图 14.7 所 示 为 10 个 段 数 据 报 序列 。 这 些 数据 报 都 是 由 执行 ping 命 
而 产生 的 。 窗 口上 半 部 分 显示 的 10 个 数据 报 是 由 一 个 ARP 请 Pe 
ARP 响 应 产生 的 ， 并 且 后 面 还 跟随 4 个 ICMP 请 求 /响应 对 。 窗 口中 间 对 
ICMP 报 头 进行 了 解码 ， 在 下 方 可 以 看 到 数据 报 中 32 个 字 节 的 数据 。 数 
据 部 分 包含 完整 的 字母 表 〈 按 照 字母 顺序 排序 ) ， 总 共有 32 个 字 节 。 
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图 14.7 查看 执行 ping 命 令 后 的 流量 
协议 分 析 器 网 络 专 业 人 员 使 用 一 款 相当 复杂 的 工具 。 在 图 14.7 中 可 





以 看 到 ， 它 要 比 本 站 介绍 的 命令 行 工 具 更 为 详细 ， 而 且 它 在 网 络 排 错 方 
面 发 挥 了 重要 的 作用 ， 因 此 有 必要 在 本 章 进 行 提 及 。Microsoft 的 
Network Monitor〈 网 络 监视 器 ) 是 一 款 适 用 于 Windows 系 统 的 协议 分 析 
器 。UNIX 和 Linux 用 户 可 以 使 用 其 他 选项 ， 比 如 Wireshark 和 tcpdump。 


14.6 小 结 
TCP/IP 的 连通 性 工具 组 可 以 帮助 用 户 配 置 和 对 网 络 连 接 进 行 排 错 。 














每 种 工具 只 显示 了 少量 信息 ， 但 是 ， 知 道 如 何 应 用 这 些 工 具 的 用 户 可 以 
快速 查找 到 问题 源 点 ， 并 预防 潜在 的 问题 。 本 章 还 讲解 了 由 协议 故障 和 
错误 配置 、 链 路 问题 、 名 称 解 析 故 障 ， 以 及 过 量 的 流量 等 引起 的 连通 性 
问题 ， 并 讨论 了 如 何 使 用 ping、ifconfig、ipconfig 和 arp 这 样 的 工具 来 解 
决 这 些 问 题 。 本 章 还 讲解 了 一 些 用 来 对 网 络 性 能 问题 进行 诊断 的 工具 ， 
其 中 包括 traceroute、tracert、route、netstat、nbtstat 和 协议 分 析 器 。 

在 这 一 章 中 也 讨论 了 大 量 传输 文件 和 导航 远程 目录 的 TCP/IP 工 具 。 


14.7 问 与 答 








问 : 哪个 工具 可 以 显示 数据 报 的 传输 路 径 ? 

答 : traceroute 工 具 ， 在 Windows 系 统 中 被 称 为 tracert。 

问 : 当 我 在 上 网 时 感觉 到 网 速 很 慢 ， 我 想 看 一 下 是 否 是 因为 网 络 
流量 从 丙 而 号 至 去 包 现 旬 ， 我 应 该 使 用 哪个 工具 呢 ? 

答 : netstat。 

问 : 我 想 看 一 下 能 否 连接 到 地 址 为 192.168.1.18 的 主机 上 ， 我 应 该 
使 用 哪个 工具 ? 

答 : ping。 

问 : 命令 tractroute 显示 了 一 条 去 往 远程 计算 机 的 低 效 路 径 ， 我 
人 以 确定 是 否 存在 问题 ， 我 应 该 使 用 哪个 
A 

答 : route。 


14.8 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问 题 由 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 则 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 

1. 当 你 在 上 网 时 ， 突 然 页 面 停止 载 入 ， 你 应 该 先 考 虑 使 用 哪 一 个 
排 错 工具 呢 ? 

2. 可 以 使 用 哪个 命令 来 查看 ARP 缓 存 中 的 内 容 ? 

3. 如 何 查 看 通过 TCP 连 接 的 主机 ? 

4. route 命 令 的 一 些 版 本 没有 用 于 输出 路 由 表 的 选项 。 你 可 以 使 用 
哪些 工具 来 完成 该 功能 ? 

5. 网 络 监视 器 、tcpdume 和 Wireshark 属 于 哪 种 类 型 的 工具 ? 








14.8.2 练习 
在 你 的 计算 机 上 执行 下 列 命 令 并 三 看 结果 。 
ipconfig /all 或 ifconfig -a( 不 是 所 有 的 TCP/IP 栈 都 实现 了 这 些 功 





ban 
CC 
WA 


ping 127.0.0.1 

ping w.x.y.z〔 将 w.x.y.z 蔡 换 为 你 的 计算 机 的 IP 地 址 ) 

ping W.X.y.z〔 将 w.x.y.z 蔡 换 为 男 外 一 台 本 地 计算 机 的 IP 地址) 

ping w.x.y.Z《〈 将 w.x.y.Z 蔡 换 为 你 的 默认 网 关 的 IP 地 址 ) 

ping W.x.y.z《 将 w.x.y.z 蔡 换 为 一 台 远 程 计 算 机 的 人 P 地 址 ) 

ping 本 地 主机 

ping http:/www.whitehouse.gov〔 如 果 您 已 连接 到 Internet 并 且 拥 有 
一 台 DNS 服 务 器 ) 

ping <hostname> (将 hostname 替 换 为 你 的 主机 的 实际 名 称 ) 

arp -a 或 arp -g《〈《 至 少 有 一 个 可 以 执行 。 等 待 几 分 钟 后 再 行 答 试 ) 


14.9 关键 术语 


复习 下 列 关 键 术语 : 

> arp: 用 于 配置 和 显示 地 址 解析 协议 〈ARP) 表 中 内 容 的 工具 。 
> 广播 风暴 : 由 网 络 适配器 运行 故障 所 引发 的 过 量 流量 。 

> hostname: 用 于 显示 本 地 主机 名 的 工具 。 

> ifconfig: UNIX/Linux 系 统 中 显示 TCP/IP 配 置信 息 的 工具 。 

> ipconfig: Windows 系 统 中 显示 TCP/IP 配 置信 息 的 工具 。 

> nbtstat: TCP/IP 协 议 中 提供 统计 信息 和 其 他 NetBIOS 诊 断 信息 的 





> netstat: TCP/IP 协 议 中 提供 统计 信息 和 其 他 诊断 信息 的 工具 。 
> ping: 一 种 用 于 检测 与 其 他 主机 连接 状况 的 诊断 程序 。 
> 协议 分 析 器 〈 或 数据 包 串 探 堪 ) : 可 以 捕获 和 显示 网 络 数据 包 
内 容 的 一 类 诊断 应 用 程序 或 便 件 设备 。 

> route: 用 于 配置 和 显示 路 由 表 的 工具 。 

> traceroute: 用 于 显示 从 源 计算 机 到 目的 计算 机 之 间 的 数据 报 传 
输 路 径 的 工具 。 

> tracert: Windows 系 统 中 使 用 的 工具 ， 其 功能 等 效 于 
traceroute。 








本 章 介 绍 如 下 内 容 : 
> Telnet; 

六 Berkeley r* 工 具 ; 
> SSH:; 

> 远程 控制 ， 

> 网 络 管理 ; 


> SNMP; 

> RMON。 

网 络 可 以 说 是 为 了 共享 远程 的 资源 而 建立 的 ， 所 以 在 网 络 上 做 的 几 
平 所 有 事情 都 可 以 归结 于 远程 访问 。 传 统 上 的 一 些 TCP/IP 工 具 仍 然 被 划 
定 在 远程 访问 工具 类 中 ， 这 些 远程 访问 工具 伴随 着 UNIX 成 长 ， 不 过 其 
中 的 不 少 已 经 被 移植 到 其 他 操作 系统 之 中 。 这 些 工 具 赋 予 了 远程 用 户 一 
些 本 地 用 户 才 拥 有 的 能 力 。 还 有 一 些 工具 在 多 年 以 来 ， 一 直 帮 助 网 络 管 
理 员 通过 网 络 来 管理 计算 机 和 设备 。 在 本 章 中 ， 将 学 到 Telnet、 安 全 外 
壳 〈Secure Shell，SSH) 、 远 程控 制 和 网 络 管理 协议 。 

学 完 本 章 后 ， 你 可 以 : 

> 解释 Telnet 的 用 途 ; 

> 列 出 部 分 Berkeleyr* 工 具 和 这 些 工 具 在 SSH 禾 中 的 后 续 版 本 ; 

> 描述 一 些 常 见 的 网 络 管理 协议 。 


15.1 Telnet 


Telnet 是 对 远程 计算 机 进行 类 似 于 终端 访问 的 一 组 套件 。Telnet 一 度 
是 采用 命令 行 来 访问 远程 计算 机 的 最 常见 方式 。 但 是 ， 近 些 年 来 ， 更 为 
安全 的 SSH 协议 (将 在 本 章 后 面 讲 到 ) 已 经 成 为 终端 访问 的 标准 。 但 
是 ，Telnet 仍然 存在 ， 因 此 任何 TCP/IP 相关 的 图 书 如 果 不 介 绍 Telnet， 
则 称 不 上 是 完整 的 。 

一 个 Telnet 会 话 需 要 一 个 Telnet 客 户 端 作 为 远程 终端 ， 以 及 一 台 
Telnet 服 务 器 用 于 接收 连接 请 求 并 允许 连接 。 该 关系 如 图 15.1 所 示 。 

















Telnet 
客户 端 


网 际 层 
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图 15.1 Telnet 客户 并 和 服务 器 


Telnet 同 时 也 是 一 种 协议 ， 一 套 定 义 Telnet 服 务 器 与 客户 端 之 间 互 动 
规则 的 系统 。Telnet 协 议 在 一 系列 的 RFC 中 定义 。 由 于 Telnet 是 基于 定义 
良好 的 开放 型 协议 ， 因 此 它 可 以 并 且 已 经 在 人 硬件 和 软件 系统 中 得 到 广泛 
应 用 。 建 立 Telnet 最 基本 的 用 途 是 为 远程 用 户 提供 一 种 方式 ， 使 他 键入 
的 命令 可 以 通过 网 络 输 入 到 另 一 台 计 算 机 中 。 与 会 话 相 关 的 输出 经 过 网 
络 从 那 台 计算 机 《服务 器 ) 传输 到 客户 端 系 统 〈 见 图 15.2) 。 这 束 可 以 
J 可 以 同 服务 器 进行 互动 ， 就 如 同 他 登录 的 是 本 地 服务 器 那 
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图 15.2 Telnet 的 网 络 输入 和 输出 


在 UNIX 系 统 中 的 命令 提示 符 中 ，Telnet 命 令 用 如 下 方式 使 用 : 

telnet 主机 名 

这 里 的 主机 名 表示 需要 连接 的 计算 机 的 名 称 《〈 也 可 以 使 用 IP 地 址 来 
蔡 代 ) 。 上 面 这 条 命令 将 局 动 Telnet 程 序 。 在 Telnet 运 行 时 ， 全 输入 的 合 
令 就 会 在 远程 计算 机 上 执行 。 Telent 还 提供 了 一 些 特殊 的 命令 ， 你 可 以 
在 Telnet 会 话 期 间 使 用 。 这 些 命令 如 下 所 示 。 

> close: 此 命令 用 于 关闭 当前 连接 。 

> display: 此 命令 用 于 显示 连接 设置 ， 例 如 端口 或 者 终端 仿真 。 

> environ: 此 命令 用 于 设置 环境 变量 。 环 境 变 量 被 操作 系统 用 来 
提供 特定 的 用 户 或 计算 机 信息 。 

> logout: 此 命令 用 于 注销 远程 用 户 并 关闭 连接 。 

> mode: 此 命令 用 于 选择 文件 传输 模式 ，ASCII 的 文件 传输 模式 
适 于 传输 文本 文件 ， 而 二 进 制 的 文件 传输 模式 适 于 传输 其 他 类 型 的 文 
件 ， 例 如 可 执行 文件 或 者 图 卢 。 

> open: 此 命令 用 于 连接 到 某 台 远程 计算 机 。 

> quit: 此 命令 用 于 退出 Telnet 程 序 。 

> snd: 此 命令 用 于 同 远 程 计算 机 发 送 特殊 的 Telnet 协 议 指 令 序 
列 ， 例 如 一 个 终止 指令 序列 、 中 断 指令 序列 或 者 文件 结束 指令 序列 。 

> set: 此 命令 用 于 对 连接 进行 设置 。 

> unset: 此 命令 用 于 取消 设置 的 连接 参数 。 

> ? : 此 命令 用 于 显示 帮助 信息 

在 Windows 这 样 的 图 形 界面 操作 系统 中 ，Telnet 程 序 可 能 有 它 自己 














的 图 标 ， 并 在 一 个 窗口 中 运行 ， 但 基本 的 命令 和 进程 同 基于 命令 行 的 系 
统 是 一 样 的 。 

注意 : 安全 问题 

Telnet 曾 经 是 极为 有 用 的 工具 ， 但 近年 来 ， 它 逐渐 被 更 安全 的 工具 
所 替代 ， 例 如 SSH (本 章 后 面 将 讲 到 ) 。Telnet 的 一 个 问题 是 ， 它 给 予 
网 络 入 侵 者 他 们 最 想 要 的 东西 一 一 对 远程 服务 器 上 某 个 终端 对 话 的 直接 
访问 权 ， 而 且 ， 尺 管 Telnet 标 准 文 持 密码 验证 ， 但 这 些 密码 往往 是 以 纯 
文本 方式 传输 的 。 


15.2 Berkeley 远 程 工具 


Berkeley 系 统 设计 (BSD) 的 UNIX 系 统 实现 (被 称 为 BSD 
UNIX) ， 是 UNIX 发 展 的 重要 一 步 。 许 多 始 于 BSD UNIX 的 创新 ， 目 前 
是 其 他 UNIX 系 统 上 的 标准 配置 ， 并 且 已 经 被 纳入 到 TCP/IP 和 Internet 超 
界 中 的 其 他 操作 系统 里 。 

BSD UNIX 的 一 项 创新 是 一 组 用 来 提供 远程 访问 的 命令 行 工 具 。 由 
于 这 一 组 工具 的 名 称 都 以 一 个 代表 “远程 ”的 首 字 母 r 开 头 ， 所 以 这 组 工 
有 具 被 称 为 Berkeley 远 程 工 具 。 尽 管 与 Telnet 相 似 ， 这 些 工具 在 当前 的 安全 
环境 下 显得 有 些 不 合 时 宜 ， 但 是 UNIX、Linux 和 Windows 系 统 仍 然 提 供 
有 不 同 版 本 的 Berkeley 远 程 工具 。 幸 运 的 是 ， 下 一 节 将 讲 到 ， 许 多 远程 
工具 在 SSH 协 议 复 中 以 更 安全 的 形式 出 现 。 

以 下 是 一 些 Berkeley 远 程 工 具 。 

> Rlogin: 人 允许 用 户 远程 登录 。 

> Rcp: 用 于 远程 文件 传输 。 

> Rsh: 通过 rshd 后 台 程 序 执行 一 条 远程 命令 。 

> Rexec: 通过 rexecd 后 台 程 序 执行 一 条 远程 命令 。 

> Ruptime: 显示 有 关 正 常 运行 时 间 和 连接 用 户 数 量 的 信息 。 

> Rwho: 显示 当前 连接 用 户 的 信息 。 

Berkeley 远 程 工具 设计 于 TCP/IP 网 络 的 早期 ， 创 建 这 些 工具 的 人 预 
期 只 有 受信 任 的 用 户 才能 使 用 这 些 工 具 。 如 今 ， 许 多 管理 员 都 否认 存 
在 “受信 任 ” 用 户 。 在 当今 开放 和 互联 的 网 络 环境 中 ， 使 用 Berkeley 远 程 
工具 一 般 被 认为 过 于 冒险 ， 即 使 是 在 内 部 网 络 中 ， 也 必须 在 如 何 和 何 时 
使 用 这 些 工 具 上 持 谨慎 态度 。Berkeley 远程 工具 倒是 有 一 个 基本 的 安全 
系统 ， 如 果 执 行 正确 ， 可 以 在 受 限 和 信任 的 环境 中 提供 某 种 保护 措施 。 

Berkeley 远程 工具 使 用 被 称 为 “受信 访问 ”的 概念 。 受 信访 问 允 许 一 
台 计 算 机 信任 另 一 台 计 算 机 的 身份 验证 。 在 图 15.3 中 ， 若 计算 机 A 指 定 
计算 机 B 为 受信 主机 ， 则 登录 到 计算 机 B 上 的 用 户 可 以 使 用 Berkeley 远 程 



























































工具 访问 计算 机 A， 无 需 提供 登录 计算 机 A 的 密码 。 计 算 机 A 也 可 以 指定 
特定 用 户 为 受信 用 户 。 受 信 主 机 和 受信 用 户 在 当前 用 户 设法 获得 访问 权 
的 远程 计算 机 的 /etc/hosts.equiv 文 件 中 识别 。 每 个 用 户主 目录 中 的 .rhosts 
文件 ， 也 可 被 用 来 把 受信 访问 授予 相应 的 用 户 账户 。 





计算 机 A 


计算 机 B 
计算 机 日 认证 的 用 户 [ 
可 以 利用 Berkeley 远 
程 攻 击 访问 计算 机 A 










/etc/hosts.equiv 


i 文件 指定 计算 机 
a B 为 受信 主机 


图 15.3 UNIX 的 受信 访问 


注意 : 寻找 主机 

由 于 /etchosts.equiv 文 件 和 .rhosts 文 件 允 许 访问 系统 资源 ， 所 以 它们 
是 网 络 入 侵 者 的 主要 搜寻 目标 。 这 些 文件 的 脆弱 性 也 是 Berkeley 远 程 工 
具 被 认为 不 再 安全 的 原因 之 一 。 

下 面 几 小 节 将 讨论 一 些 Berkeley 远 程 工具 。 

15.2.1 rlogin 

rlogin 是 一 种 远程 登录 工具 。 你 可 以 使 用 rlogin 登录 某 台 正在 运行 
服务 器 后 台 程 序 rlogind (d 代表 后 台 程 序 ) 的 UNIX 主机 。rlogin 提供 
了 与 Telnet 相同 的 用 途 ， 但 rlogin 的 通用 性 要 差 很 多 。rlogin 只 是 用 于 提 
供 对 UNIX 系 统 的 访问 ， 而 Telnet 已 被 TCP/IP 协 议 标 准 涵盖 ， 可 以 有 更 
泛 的 应 用 。 同 时 ，rlogin 也 没有 提供 Telnet 所 有 具 有 的 一 些 配置 协商 特 








由 于 应 用 Berkeley 远 程 工具 安全 模型 ，rlogin 的 一 个 显著 特性 就 是 文 
持 无 需 密码 的 远程 登录 。 无 密码 访问 是 所 有 Berkeley 远 程 工具 的 一 个 特 
性 ， 但 相对 于 Berkeley 远 程 工具 提供 的 其 他 功能 ， 一 些 用 户 对 无 密码 的 
终端 会 话 还 是 略 感 不 安 。 尽 管 如 此 ，Berkeley 远程 工具 的 安全 模型 确实 
限制 对 受信 用 户 的 访问 。 








注意 : 另外 一 种 访问 

需要 记 住 的 是 ， 在 用 户 通过 某 种 形式 的 首次 验证 之 后 ， 许 多 网 络 操 
作 系 统 同 样 文 持 对 网 络 资源 的 无 密码 访问 。 例 如 ， 第 11 章 描述 的 
Kerberos 身 份 验 证 模式 ， 就 对 UNIX/Linux 以 及 Windows 网 络 上 的 资源 ， 
提供 无 密码 访问 。 通 过 应 用 其 他 更 安全 的 方法 ， 现 在 可 以 发 挥 出 
Berkeley 远 程 工具 的 许多 优点 。 

rlogin 命 令 的 语法 如 下 所 示 : 

rlogin hostname 

这 里 的 hostname 表 示 你 希望 获得 访问 权限 的 计算 机 的 主机 名 。 如 果 
没有 指定 用 户 名 ， 则 默认 为 本 机 上 当前 用 户 的 用 户 名 ， 也 可 以 用 下 列 命 
令 指定 一 个 用 户 名 : 

rlogin hostname -1 username 

这 里 的 username 束 是 你 想 要 用 来 登录 的 用 户 名 。 

接着 ， 服 务 器 后 台 程 序 rlogind (该 程序 必须 正在 相应 的 服务 器 上 运 
行 着 ) 会 检查 host.equiv 和 .rhosts 文 件 ， 来 验证 主机 和 用 户 信息 。 如 果 验 
证 成 功 ， 则 会 开启 远程 会 话 。 

15.2.2 rcp 

rcp 工 具 提供 远程 文件 访问 功能 。 虽 然 没 有 FTP 的 用 途 广 、 功 能 多 ， 
但 有 时 它 仍然 被 用 来 传输 文件 。 

15.2.3 rsh 

rsh 工具 允许 用 户 在 不 需要 登录 远程 计算 机 的 情况 下 ， 就 能 在 远程 
计算 机 上 执行 单条 命令 。rsh 是 远程 外 壳 remote shell) 的 缩写 (外 过 是 
操作 系统 的 一 种 命令 接口 ) 。 运 行 于 远程 计算 机 上 的 rshd 后 台 程 序 ， 接 
受 rsh 命 令 ， 验 证 用 户 名 和 主机 名 信息 ， 并 执行 该 命令 。 当 用 户 不 愿 或 
个 需要 与 远程 计算 机 建立 远程 会 话 时 ， 可 以 使 用 rsh 工 具 执 行 输入 的 合 


so。 

rsh 命 令 的 格式 如 下 : 

rsh -] username hostname command 

这 里 的 hostname 表 示 远 程 计算 机 的 主机 名 ，username 表 示 访 问 远 程 
计算 机 时 使 用 的 用 户 名 ，command 表 示 需 要 执行 的 命令 。 

位 于 “-]* 之 后 的 username 是 可 选 的 。 如 果 不 指 定 某 个 用 户 名 ， 它 将 
默认 使 用 本 地 主机 上 的 用 户 名 ， 如 下 所 示 : 

rsh hostname command 

15.2.4 rexec 


与 rsh 类 似 ，rexec 也 提供 在 远程 计算 机 中 执行 命令 的 功能 。rexec 使 


























用 的 是 rexecd 后 台 程 序 。 

rexec 命 令 的 语法 如 下 所 示 : 

rexec hostname -] username command 

这 里 的 hostname 表 示 主 机 名 称 ，username 表 示 远 程 计算 机 上 的 用 户 
账户 名 称 ，command 表 示 要 执行 的 命令 。 辱 省略 -] username 参 数 ， 用 户 
名 将 默认 为 在 本 地 计算 机 上 的 用 户 名 。 

15.2.5 ruptime 

ruptime 显 示 网 络 上 每 台 计 算 机 的 登录 用 户 数量 ， 同 时 列 出 每 台 计 算 
机 的 上 线 时 间 “〈 因 此 有 rup-time 这 个 名 称 ) ， 以 及 其 他 一 些 系 统 信息 。 

要 想 生 成 一 份 ruptime 报 告 ， 只 需 输 入 如 下 命令 : 

ruptime 

ruptime 和 rwho 都 使 用 rwhod 后 台 程 序 。 实 际 上 ， 每 台 位 于 网 络 上 
的 计算 机 都 有 一 个 rwhod 后 台 程 序 用 于 定期 广播 用 户 的 活动 。 每 个 rwhod 
后 台 程 序 都 接收 和 存储 来 自 其 他 rwhod 后 人 台 程 序 的 报告 ， 从 而 可 以 掌握 
整个 网 络 的 用 户 活动 。 





15.2.6 rwho 
rwho 用 于 显示 当前 登录 到 网 络 计算 机 上 的 所 有 用 户 ， 可 以 列 出 用 户 


名 、 每 个 用 户 所 登录 的 计算 机 、 登 录 时 间 以 及 已 登录 时 间 。 

rwho 命 令 的 语法 很 简单 : 

rwho 

默认 的 报告 不 包含 终端 处 于 不 活动 状态 的 时 间 在 1 小 时 以 上 的 用 
户 。 知 要 显示 包含 所 有 用 户 信 息 的 报告 ， 请 使 用 -a 选 项 : 

rwho ~—a 

和 ruptime 一 样 ，rwho 也 使 用 rwhod 后 台 程 序 。 


15.3 安 壳 〈SSHD) 


在 本 章 前 面 你 已 经 学 习 到 ， 像 Telnet 和 Berkeley 远 程 工具 这 样 的 经 典 
TCP/IP 远 程 访 问 工具 并 不 十 分 安全 。Berkeley 远程 工具 正 快速 消失 ， 
Telnet 还 在 某 些 特殊 用 途中 被 坚持 使 用 着 ， 例 如 拨号 访问 ， 但 是 绝 大 多 
数 IT 专业 人 员 不 会 考虑 在 开放 的 Internet 中 使 用 Telnet。 

与 此 同时 ，Internet 演 变 为 更 为 重视 网 络 化 和 远程 访问 。 在 当今 的 网 
络 中 ， 远 程 外 诗 会 话 通常 通过 一 套 协 议和 工具 来 进行 管理 ， 而 这 些 工 具 
被 称 为 安全 外 壳 〈SSH) 。SSH 相 当 于 只 带 有 公开 密 钥 加 密 的 Berkeley 
远程 工具 。SSH 套 件 的 主要 组 成 部 分 如 下 所 示 。 

> SSH: 用 于 蔡 代 rlogin、rsh 和 Telnet 的 远程 外 壳 程 序 。 

















> scp: 用 于 替代 rcp 的 文件 传输 工具 

> sftp: 用 于 替代 FTP 的 文件 传输 工具 。 

SSH 最 流行 的 实现 是 免费 的 OpenSSH 项 目 ， 在 UNIX、Linux、 
Windows 和 Mac 中 都 可 使 用 。OpenSSH 由 一 些 管理 密 钥 签名 和 加 密 的 附 
加 工具 组 成 ， 服 务 器 端的 SSH 连接 由 sshd 处 理 ， sshd 也 包含 在 OpenSSH 
组 件 中 。 

在 利用 OpenSSH 登 录 到 某 个 远程 系统 (命令 形式 为 ssh 
user@host_name) ， 并 在 提示 符 下 输入 密码 之 后 ， 就 可 以 像 在 本 地 一 样 
执行 命令 了 。 与 它 的 前 辈 相 比 ， SSH 在 Internet 上 要 安全 得 多 ， 其 内 置 的 
加 密 技 术 可 阻止 大 多 数 形 式 的 网 络 监视 和 其 驴 。 许 多 防火 墙 文 持 通过 
SSH 连 接 从 外 部 访问 内 部 网 络 ， 这 样 一 来 ， 网 络 管理 员 就 可 以 穿越 
Internet 使 用 SSH 来 登录 内 部 网 络 了 。 

除了 提供 安全 的 远程 外 壳 连 接 ，SSH 还 支持 某 种 形式 的 端口 转发 ， 
从 而 使 其 他 无 安全 防护 措施 的 应 用 程序 可 以 通过 基于 SSH 的 加 密 连 接 安 
全 地 执行 。 

注意 : 需要 一 个 服务 器 

如 果 你 喜欢 尝试 ， 请 记 住 ，SSH 是 一 个 客户 端 /服务 器 应 用 程序 。 大 
多 数 现代 的 计算 机 系统 都 带 有 SSH 客 户 端 工 具 ， 但 是 当 SSH 服 务 没 有 在 
远程 计算 机 上 运行 时 ， 将 无 法 连接 到 该 计算 机 。 如 果 服 务 已 经 运行 ， 你 
还 需要 必要 的 登录 凭证 。 


15.4 远程 控制 


许多 系统 管理 员 和 高 级 用 户 都 更 辟 欢 通过 命令 外 充 进 行 操 作 ， 在 屠 
里 ， 一 行文 本 整洁 地 对 应 一 个 啊 应 。 通 过 使 用 Telnet 和 相似 的 工具 ， 命 
令 外 壳 还 很 容 扩展 至 远程 执行 环境 。 但 是 ， 绝 大 多 数 用 户 已 不 再 在 这 种 
N00 了 ， 他 们 喜欢 用 鼠标 在 图 形 用 户 界 面 中 点 击 进行 操 


大 量 的 远程 访问 协议 和 工具 可 以 让 用 户 通过 使 用 带 有 键盘 和 鼠标 的 
普通 图 形 桌 面 操作 ， 来 控制 远程 系统 。 通 过 图 形 用户 界 面 提 供 远 程 访问 
似乎 更 复杂 一 些 ， 但 原理 是 相同 的 〈 见 图 15.4) 。 在 计算 机 A 的 应 用 层 
上 运行 的 某 个 软件 组 件 截取 键盘 输入 ， 并 通过 TCP/IP 协 议 栈 将 其 重 定向 
至 计算 机 B。 计 算 机 B 的 屏幕 输出 数据 再 被 通过 网 络 发 送 回 计 算 机 A。 纺 
朵 是 计算 机 A 的 鼠标 和 键盘 作为 计算 机 B 的 鼠标 和 键盘 ， 而 计算 机 A 的 屏 
幕 显 示 计 算 机 了 B 的 更 面 视图 。 简 而 言 之 ， 位 于 计算 机 A 的 用 户 可 以 通过 
远程 控制 ， 碍 看 和 操作 计算 机 B。 
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图 15.4 基于 GUI 的 远程 访问 工具 对 键盘 和 鼠标 命令 进行 重 定向 


基于 图 形 用 户 界 面 的 远程 访问 最 初 是 由 第 三 方 软件 工具 应 用 推广 
的 ， 例 如 Symantec 公司 的 pcAnywhere 和 Netopia 公 司 的 Timbuktu。 近 几 个 
版 本 的 Mac 和 Windows 系 统 分 别 通过 Apple 远 程 桌 面 和 Windows Vista 远 
程 蝎 面 连接 ， 已 经 将 远程 访问 功能 直接 集成 到 操作 系统 中 。 通 过 X 
Server 图 形 环 境 的 基础 架构 ，UNIX/Linux 系 统 也 一 直 拥 有 达成 这 种 功能 
的 初级 版 本 程序 。 不 过 ， 最 近 像 虚拟 网 络 计算 (Virtual Network 
Computing，VNC) 和 NoMachine 的 NX 这 样 的 工具 ， 使 用 起 来 更 加 方 
便 ， 而 且 可 以 供 终端 用 户 进行 远程 访问 。 

远程 系统 管理 员 和 IT 服务 全 经 党 使 用 屏幕 共享 工具 ， 对 台式 计算 机 
进行 配置 和 故障 排查 。 
































很 多 用 户 很 乐意 通过 在 配置 对 话 框 中 输入 命令 或 进行 单 击 的 方式 来 
连接 到 远程 计算 机 ， 但 是 管理 者 几 十 合 甚 全 上 百人 台 计算 机 的 IT 专 家 却 需 
要 一 种 更 为 高 效 的 方式 。 网 络 管理 工具 可 以 让 用 户 通过 一 个 用 户 界面 来 
配置 、 监 视 、 管 理 远 程 系 统 和 设备 。 而 且 这 些 工 具 不 会 等 着 让 用 户 来 指 
出 是 否 存 在 问题 。 在 远程 系统 上 运行 的 代理 应 用 程序 会 自动 将 状态 信息 
返回 ， 因 此 当 磁 副 空 间 、 资 源 使 用 紊 和 网 络 性 能 在 超 于 预定 义 的 病 值 
时 ， 系 统 会 通过 E-mail 或 文本 消息 来 对 用 户 发 出 警告 。 














如 今 存 在 有 多 种 网 络 管理 工具 和 协议 。 许 多 管理 工具 仍然 基于 古老 
的 简单 网 络 管理 协议 〈SNMP) 和 远程 监控 (RMON) 协议 (本 章 后 面 
会 讲 到 ) 。 但 是 ， 随 痢 像 SNMP 这 样 的 工具 的 开发 ， 分 布 式 管理 工程 任 
务 组 (Distributed Management Task Force，DMTEF) 这 家 由 多 家 网 络 人 硬 
件 和 软件 公司 支持 的 机 构 ， 公 布 了 诸如 基于 Web 的 企业 管理 (Web- 
Based Enterprise Management，WBEM) 和 公用 信息 模型 (Common 
Information Model，CIM) 这 样 的 标准 ， 以 提供 更 加 通用 的 解决 方案 ， 
以 便 开 发 人 员 和 硬件 广 商 构建 可 以 与 网 络 管理 工具 进行 通信 的 驱动 程 
序 。Microsoft 的 Windows 管 理 规范 (Windows Management 
Instrumentation，WMI) 和 Red Hat 的 OpenPegasus 系 统 是 WBEM 的 两 种 
实现 形式 。 














协议 的 目的 是 促进 通信 ， 而 且 只 要 存在 某 种 具有 与 众 不 同 且 可 定义 
特征 的 通信 ， 就 很 可 能 找到 相应 的 一 种 协议 。 简 单 网 络 管理 协议 
(SNMP) 是 一 种 用 于 管理 和 监控 网 络 上 远程 设备 的 协议 。SNMP 可 以 
使 网 络 具备 某 种 能 力 ， 使 得 网 络 管理 员 通 过 一 台 工 作 站 完成 对 计算 机 、 
路 由 器 和 其 他 网 络 设 备 的 远程 管理 和 监视 。 

图 15.5 展 示 了 SNMP 架 构 的 主要 组 成 部 分 ， 如 下 所 示 。 





社区 





网 络 
监视 器 


图 15.5 一 个 SNMP 社区 包含 多 个 一 个 或 多 个 网 络 监视 器 和 一 个 节点 集 
> 网 络 监视 器 : 一 个 管理 控制 台 ， 有 时 被 称 为 管理 器 或 网 络 管理 


控制 台 〈 Network Management Console，NMS) ， 它 为 管理 网 络 上 的 设 
备 提 供 了 一 个 中 央 人 位置。 网 络 监 视 器 通常 是 一 人 台 珊 有 必要 SNMP 管 理 软 





件 的 普通 计算 机 。 

> 节点 : 网 络 上 的 设备 。 

> 社区 : 同一 个 管理 框架 下 的 一 组 节点 。 

在 本 书 其 他 地 方 我 们 了 解 到 ， 一 个 协议 提供 一 种 通信 计划 ， 但 实际 
的 交互 是 发 生 在 运行 于 网 络 设备 上 的 应 用 程序 之 间 。 以 SNMP 为 例 ， 补 
称 为 代理 的 程序 运行 于 远程 节点 ， 它 与 运行 于 网 络 监 视 器 上 的 管理 软件 
进行 通信 《〈 见 图 15.6) 。 











变更 请 求 


图 15.6 远程 节点 上 运行 的 代理 程序 网 网 络 监 视 需 发 送 所 在 节点 的 信息 ， 
并 接收 更 改 配置 设置 的 请 求 


监视 器 和 代理 使 用 SNMP 协 议 进 行 通信 。SNMP 使 用 UDP 的 161 和 
162 端 口 。SNMP 的 早期 版 本 不 要 求 任何 形式 的 用 户 登 录 安 全 措施 。 其 
安全 性 由 被 称 为 社区 字符 串 的 社区 名 称 提 供 ， 只 有 知道 社区 字符 串 才 能 
连接 。 在 某 些 情况 下 ， 也 可 以 配置 代理 ， 使 其 只 从 指定 的 IP 地 址 接收 数 
据 。 但 是 从 现代 标准 考虑 ， 这 类 安全 措施 很 薄弱 。SNMP 的 最 新 版 本 
oa 
安全 措施 。 

你 可 能 想 知 道 监视 器 和 代理 之 间 通 信 的 内 容 ， 即 监视 器 和 代理 通过 
SNMP 在 传递 些 什么 数据 ? 下 一 小 节 中 我 们 可 以 学 习 到 ，SNMP 和 定义 了 
一 个 大 型 的 管理 参数 集 。 网 络 监视 器 使 用 这 个 管理 信息 库 
(Management Information Base，MIB ) 的 参数 来 向 代理 请 求 信 息 和 更 
改 配置 设置 。 


15.6.1 SNMP 地 址 空间 
监视 器 和 代理 软件 能 够 交换 MIB 中 可 寻 址 的 特定 位 置信 息 ， 其 前 提 





是 运行 SNMP 进 程 。 如 图 15.7 所 示 ，MIB 使 得 监视 器 和 代理 软件 能 准确 
明白 地 交换 信息 。 监 视 器 和 代理 必须 使 用 相同 的 MIB 结 构 ， 因 为 它们 必 
须要 能 识别 出 信息 的 每 一 个 单元 。 

MIB 是 一 种 分 级 的 地 址 空间 ， 包 括 每 个 信息 段 的 唯一 地 址 。 需 要 注 
意 的 是 ，MIB 地 址 与 网 络 地 址 不 同 ， 因 为 MIB 地 址 并 不 代表 一 个 位 置 
或 者 一 台 实 际 设备 。 参 数 集合 分 级 排列 于 一 个 地 址 空间 就 构成 了 MIB， 
这 种 分 级 排列 保证 了 所 有 SNMP 设 备 都 可 用 相同 的 方式 引用 特定 的 设 
置 。 这 种 做 法 同样 利于 进行 权力 下 放 ， 例 如 ， 某 特定 供应 商 能 够 定义 
MIB 设置 〈 通 常 简称 为 MIB) 并 用 于 该 供应 商 的 产品 中 ， 或 是 使 某 个 
标准 组 织 能 够 管理 MIB 树 的 一 部 分 ， 使 其 专门 对 应 其 标准 。MIB 使 用 
虚线 符号 标示 每 个 唯一 的 MIB 对 象 地 址 。 


root {unnamed) 








ccitt (0) iso (1) ccitt-iso {2) 
org {3) 
dod (6) 
intermet (1) 
directory (1) mgmt (2) experimental (3) private (4) 
mib (1) enterprises (1) 
system (1) interfaces (2) at(3) ip(4) icmp(5) top (6) edp{7) egp {8) ...rmon (16) microsof (311) 
ipForwarding (1) ipDefayultTTL (2),,, statistics (1) history (2) alarm (3) hosts (3) ,,.rmonConformance (20) 


图 15.7 MIB 的 部 分 结构 图 


注意 : MIB 

多 个 RFC 中 均 已 描述 过 MIB， 包 括 RFC 1158 和 RFC 1213。 在 RFC 
1157 中 ， 可 以 找到 SNMP 的 官方 描述 。SNMP 的 最 新 版 本 (SNMP v3) 
在 RFC 2570 和 其 他 一 些 RFC 中 有 描述 。 

MIB 中 的 大 多 数 可 寻 址 位 置 都 引用 计数 器 (计数 器 显然 是 某 种 数 
字 ) 。 图 15.7 中 的 ipForwarding〔 束 是 一 个 计数 器 。 图 中 没有 显示 出 来 
的 ipImReceives 也 是 一 个 计数 器 ， 每 次 网 络 软件 启动 或 计数 器 重 置 ， 


ipInReceives 就 会 开始 计数 接收 到 的 入 站 IP 数 据 报 量 。 

MIB 信 息 可 以 是 下 列 任意 的 形式 : 数字 、 文 本 和 IP 地 址 等 。MIB 配 
置信 息 的 另 一 个 实例 是 ipDefaultTTL。ipDefaultTTL 设置 TTL 参数 (该 
参数 插入 到 该 计算 机 上 产生 的 所 有 卫 数 据 报 中 ) 。 

在 MIB 结 构 中 ， 寻 址 永远 起 始 于 根部 ， 并 逐 级 同上 定位 ， 直 到 找到 
需要 的 设置 。 例 如 ， 要 定位 ipDefaultTTL 和 ipInReceives MIB，SNMP 监 
视 器 会 向 SNMP 代 理发 送 下 面 的 MIB 地 址 : 

.iso.org.dod.internet.mgmt.mib.ip.ipDefaultTTL 

.iso.org.dod.internet.mgmt.mib.ip.ipInReceives 

MIB 树 的 每 个 位 置 也 拥有 其 数字 地 址 ， 可 以 通过 其 字母 数字 字符 串 
或 其 数字 地 址 来 引用 一 个 MIB。 在 网 络 监视 器 从 代理 软件 接收 到 查询 信 
恩 后 ， 实 际 中 会 使 用 下 列 数字 表示 MIB 地 址 : 

.1.3.6.1.2.1.4.2 

.1.3.6.1.2.1.4.3 

MIB 地 址 使 用 统一 的 命名 方式 ， 确 保 监 视 器 和 代理 能 够 可 靠 地 引用 
特定 的 参数 。 这 些 MIB 参 数 包含 在 命令 中 ， 这 些 内 容 将 在 下 一 市 讲述 。 

15.6.2 SNMP 命 令 

网 络 监视 器 代理 软件 啊 应 3 类 命令 ;get、getnext 和 set。 这 些 命令 执 
行 如 下 功能 。 

> get: get 命 令 指 示 代 理 软 件 读 出 并 返回 指定 的 MIB 信 息 单 元 。 

> getnext: getnext 命 令 指 示 代 理 软 件 读 出 并 返回 下 一 个 MIB 信 息 
单元 。 例 如 ， 可 使 用 该 命令 读 出 一 个 数据 表 的 内 容 。 

> set: Set 命令 指示 代理 软件 设置 一 个 可 配置 的 参数 或 重 置 一 个 对 
象 ， 例 如 某 个 网 络 接口 或 某 个 特定 的 计数 器 。 

根据 网 络 管理 人 员 的 实际 需要 ，SNMP 软 件 可 使 用 多 种 不 同方 式 进 
行 工 作 。 下 面具 体 描述 不 同类 型 的 SNMP 行 为 。 

> 网 络 监视 器 代理 软件 一 直 以 查询 /响应 方式 运行 ， 即 从 某 台 网 络 
监视 器 接收 请 求 并 同 其 发 送 啊 应 。 代 理 软 件 接 收 get 或 getnext 命 令 ， 然 后 
返回 来 自 可 某 寻 址 位 置 的 信息 。 

> 虽然 只 是 可 选 方式 ， 代 理 软 件 经 党 配置 为 在 发 生 非 正常 事件 时 
问 网 络 监视 器 发 送 主 动 (unsolicited) 消息 。 这 些 主动 消息 被 称 为 “陷阱 
消息 "或 "陷阱 当代 理 软件 捕获 到 某 些 不 正常 情况 时 就 会 产生 这 些 消 








> 例如 ，SNMP 代 理 软 件 通 常 的 运行 模式 是 监视 预先 定义 的 闵 值 是 
合 被 超出 。 这 些 病 值 是 由 set 命令 建立 的 。 当 浆 值 被 超出 时 ， 代 理 软件 
会 捕获 到 这 个 事件 ， 然 后 生成 并 向 网 络 监视 右 发 送 一 条 主动 消 妃 ， 用 于 


识别 捕获 现场 的 卫 地 址 ， 同 时 也 通报 被 超出 的 是 哪个 装 值 。 

> 代理 软件 也 可 以 通过 从 监视 器 接收 请 求 来 执行 某 些 动作 ， 例 如 
重 置 路 由 器 上 的 特定 端口 ， 或 者 配置 闵 值 等 级 ， 这 些 闵 值 是 用 于 捕获 事 
件 的 。 同 样 ，set 命 命令 用 于 设置 可 配置 的 参数 或 重 十 计数 器 或 接口 。 

下 列 的 实例 说 明 使 用 SNMP 的 查询 和 响应 命令 ， 该 实例 使 用 了 名 为 
snmputil 的 诊断 工具 ， 这 种 工具 允许 进行 模拟 监控 。 通 过 这 个 工具 ， 操 
作 员 可 以 给 代理 软件 发 送 命令 。 在 本 例 中 ， 代 理 软件 运行 于 耳 地 址 为 
192.59.66.200 的 计算 机 上 ， 并 且 是 名 为 public 的 社区 成 员 。 注 意 ， 位 于 
| 当 读 取 简 单 变 量 时 《例如 计数 器 ) 会 使 用 这 

D:\>snmputil get 192.59.66.200 public .1.3.6.1.2.1.4.2.0 

Variable = ip.ipDefaultTTL.0 

Value = INTEGER - 128 

D:\>snmputi] getnext 192.59.66.200 public .1.3.6.1.2.1.4.2.0 

Variable = ip.ipInReceives.0 

Value = Counter ~ 11898 

注意 : 更 改名 称 

许多 SNMP 系 统 上 的 默认 社区 名 称 都 是 public。 在 这 个 上 示例 中 ， 管 
理 员 应 该 把 该 名 称 改 为 其 他 名 称 。 如 采 使 用 默认 名 称 ， 就 会 给 攻击 者 一 
个 良好 的 开端 。 

SNMP 对 网 络 管理 员 来 说 非常 有 用 ， 但 其 实 它 并 不 完美 ， 下 面 列 出 
SNMP 的 一 些 缺 点 。 

> 无 法 查看 网 络 低 层 : SNMP 位 于 UDP 上 面 的 应 用 层 中 ， 所 以 无 
法 查看 协议 栈 内 最 底层 发 生 的 事件 ， 例 如 网 络 访问 层 上 发 生 的 事件 。 

> 需要 一 个 可 运行 的 协议 栈 : SNMP 监 视 器 和 代理 软件 进行 通 
信 ， 需 要 一 个 完全 可 运行 的 TCP/IP 栈 。 如 果 出 现 了 使 得 该 协议 栈 无 法 正 
确 工作 的 网 络 问题 ， 那么 SNMP 就 无 能 为 力 了 。 

> 会 产生 很 大 的 网 络 流量 : SNMP 使 用 的 查询 响应 机 制造 成 了 大 
量 的 网 络 流量 。 尽 管 在 重要 事件 发 生 时 会 发 送 主动 陷阱 消息 ， 但 实际 
0 时 ， 会 产生 恒定 大 小 的 网 络 


> 提供 的 数据 量 过 多 而 有 用 信息 过 少 : MIB 包 含 着 数 以 千 计 的 地 
址 位 置 ， 可 以 检索 到 许多 小 片 的 信息 。 但 是 ， 只 有 通过 强大 的 管理 控制 
台 来 分 析 这 些微 小 的 细节 ， 才 能 成 功 地 分 析出 特定 设备 中 发 生 的 故障 。 

> 只 提供 设备 视图 而 没有 提供 网 络 视 图 : 使 用 SNMP 只 能 得 到 特 
定 设备 的 信息 ， 而 不 能 使 我 们 直接 了 解 网 段 的 事件 情况 。 
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远程 监控 (RMON) 是 MIB 地 址 空间 的 扩展 ， 可 以 用 于 远程 局 域 网 
的 监控 和 维护 。SNMP 提 供 单 台 计 算 机 的 信息 检索 ， 与 之 不 同 的 是 ， 
RMON 直 接 从 网 络 介质 捕捉 数据 ， 因 此 ， 可 以 获得 局 域 网 的 整体 信息 。 

RMON MIB 始 于 地 址 位 置 .1.3.6.1.2.1.16 〈 见 图 15.7) ， 目 前 分 为 
20 组 ， 例 如 ， 从 .1.3.6.1.2.1.16.1 一 .1.3.6.1.2.1.16.20。RMON 由 IETF 开 
发 ， 用 于 解决 SNMP 的 缺陷 ， 并 使 远程 局 域 网 的 网 络 流量 更 为 清晰 。 

RMON 有 两 个 版 本 : RMON 1 和 RMON 2。 

> RMON 1: RMON 1 用 于 监控 以 太 局 域 网 ，RMON 1 中 包含 的 所 
有 组 都 用 于 监控 网 络 的 最 低 两 层 ， 例 如 OSI 参考 模型 中 的 物理 层 和 数据 
链 路 层 〈 在 TCP/IP 协 议 模型 中 ， 对 应 的 是 网 络 访问 层 ) 。RMON 1 在 多 
个 RFC 文 档 中 描述 ， 其 中 包括 2819、1757， 以 及 最 初 定义 RMON 1 的 
RFC 1271 (最 初 发布 于 1991 年 11 月 ) 。 

> RMON 2: RMON 2 提供 了 RMON 1 的 功能 ， 并 且 人 允许 对 OSI 参 
考 模型 的 其 余 5 层 〈 在 TCP/IP 协 议 模型 中 ， 对 应 的 是 网 际 层 、 传 输 层 和 
应 用 层 ) 进行 监控 。RMON 2 的 规范 在 RFC 2021 中 描述 ， 该 RFC 文 档 于 
1997 年 发 布 ， 随 后 被 RFC 4502 更 新 。 

由 于 RMON 2 是 对 TCP/IP 协 议 栈 的 更 高 层 进 行 监听 ， 因 此 可 以 提供 
更 高 级 别 协议 的 信息 ， 比 如 IP、TCP 和 NFS 协 议 等 。 

RMON 用 于 捕获 网 络 流量 数据 。RMON 代理 软件 (或 称 为 探测 软 
件 ) 在 网 段 上 进行 监听 ， 并 将 流量 数据 转发 到 RMON 控 制 台 。 如 果 网 络 
包含 多 个 网 段 ， 则 需要 运行 不 同 的 代理 软件 针对 每 一 网 段 进行 监听 。 
RMON 信 息 被 收集 到 一 组 统计 数据 中 ， 这 组 统计 数据 关联 着 不 同 种 类 的 
信息 。RMON 1 有 以 下 10 种 类 型 的 组 。 

> 以 太 网 统计 : 统计 组 拥有 从 每 个 探测 网 段 搜集 到 的 表格 形式 的 
统计 信息 ， 这 个 组 中 的 一 些 计 数 器 用 于 追踪 数据 包 、 广 播 、 冲 突 、 过 小 
数据 和 过 大 数据 报 等 的 数量 。 

> 以 太 网 历史 : 历史 组 拥有 定期 编译 的 统计 信息 ， 并 将 这 些 信息 
由 3 历史 控制 :历史 控制 组 包含 管理 数据 采样 的 控 
I 信息 。 

> 警告 :警告 组 需要 同 其 他 事件 组 (后 面 会 讲 到 ) 结合 工作 。 警 
告 组 定期 检测 探测 软件 内 变量 的 统计 样本 ， 并 将 其 与 已 经 配置 的 阔 值 进 
行 对 比 。 当 浆 值 被 超出 时 ， 就 会 产生 相应 的 事件 通知 网 络 管理 者 。 

主机 : 主机 组 维护 网 段 上 每 台 主 机 的 统计 信息 ， 它 是 通过 检测 
数据 报 中 的 源 和 目的 物理 地 址 来 获取 这 些 信息 的 。 

> 主机 排行 : 在 某 一 个 特定 分 类 中 ， 主 机 按照 已 定义 的 数值 进行 


























排列 ， 主 机 排行 组 根据 这 些 主机 的 统计 信息 来 生成 报告 。 例 如 ， 某 网 络 
管理 员 可 能 要 查找 哪 台 主 机 都 在 大 多 数 数据 报 中 出 现 过 ， 或 者 哪 台 主机 
发 送 了 大 多 数 的 过 大 或 过 小 的 数据 报 。 

> 矩阵 和 矩阵 组 构建 了 一 个 表 ， 该 表 包 含 网 络 上 监控 到 的 每 个 数 
ee 
To 
四 > 过 滤 : 过 滤 组 利用 生成 的 二 进 制 模式 匹配 或 过 滤 网 络 中 的 数据 

数据 包 捕 获 : 捕获 组 捕获 过 滤 组 选取 的 数据 报 ， 以 供 日 后 被 网 
络 管理 员 检 索 和 分 析 。 

事件 : 事件 组 与 警告 组 一 同 工 作 ， 当 某 个 监控 对 象 的 阔 值 被 超 
出 时 ， 它 会 生成 事件 以 通知 网 络 管理 员 。 

由 于 需要 监视 上 层 协 议 ，RMON 2 还 提供 了 其 他 组 。 


15.8 小 结 


本 章 介 绍 了 一 些 TCP/IP 远 程 访问 工具 ， 它 们 伴随 TCP/IP 协 议 不 断 进 
化 着 。 你 学 习 了 Telnet、Berkeley 远 程 工具 和 SSH， 可 以 使 用 这 些 工具 
在 远程 计算 机 上 执行 命令 和 获取 信息 。 

你 还 学 习 了 集中 监控 和 远程 网 络 维护 不 可 缺少 的 SNMP 协 议 。 通 过 
使 用 网 络 管理 服务 台 和 中 心 站 点 ， 网 络 管理 员 可 以 获知 异常 情况 的 发 
生 ， 并 通过 路 由 器 、HUB 和 服务 器 上 运行 的 代理 所 产生 的 报告 ， 来 查看 
网 络 流量 状态 。 网 络 管理 控制 台 还 允许 网 络 管理 员 完 成 像 重 置 路 由 器 端 
口 这 样 的 功能 ， 甚 至 在 一 般 措施 无 法 排除 故障 的 情况 下 重 置 远程 设 备 。 

目前 ， 许 多 比较 新 的 网 络 设备 都 包含 了 先入 式 的 远程 监控 
(RMON) 特性 。RMON 能 够 大 大 减少 与 SNMP 相 关 的 网 络 流量 ， 而 且 
不 需要 强大 的 网 络 控制 台 来 截获 数据 。 但 是 ， 在 使 用 RMON 时 ， 为 了 捕 
获 网 络 流量 ，RMON 代 理 或 探测 软件 会 进行 大 量 的 处 理工 作 。 


15.9 问 与 答 


问 : Telnet 是 服务 堪 应 用 程序 、 客 户 端 应 用 程序 还 是 一 个 协议 ? 

答 : 术语 Telnet 可 以 指 服务 器 应 用 程序 ， 也 可 以 指 客 户 问 应 用 程 
序 ， 或 者 也 可 以 指 Telnet 协 议 。 

问 : 如 果 要 指定 一 台 主 机 为 受信 主机 ， 需 要 使 用 哪个 文件 ? 

答 : 使 用 某 个 用 户主 目录 下 的 /etc/hosts.equiv 文 件 或 rhosts 文 件 来 指 
定 受 信 主 机。 

















问 : 使 用 哪个 工具 能 判断 用 户 Ethelred 目 前 是 否 登录 到 网 络 上 ? 
答 : rwho 工 具 显 示 有 关 当 前 用 户 的 信息 。 

问 : SNMP 协 议 使 用 哪 种 传输 协议 和 哪些 端口 ? 

答 : SNMP 通 常 使 用 UDP 的 161 端 口 ，162 端 口 用 于 SNMP 陷 阱 。 
问 : 事件 发 生 时 ， 代 理 程序 以 主动 模式 发 送 的 消息 名 称 是 什么 ? 
答 : 陷阱 消息 。 
问 
A 








: RMON 1 位 于 TCP/IP 模 型 的 哪 一 层 ? 

答 : 网 络 访问 层 。 

问 : RMON 2 位 于 TCP/IP 模 型 的 哪 一 层 ? 

答 : RMON 2 覆盖 了 TCP/P 协 议 栈 的 所 有 层 。 

问 : 若 要 监视 网 络 流 量 等 级 的 周期 性 变化 ， 应 使 用 SNMP 还 是 
RMON? 

答 : SNMP 主 要 用 于 监视 网 络 设备 。RMON 直 接 从 网 络 截至 捕获 数 
据 ， 所 以 更 适 于 监视 网 络 流量 。 


15.10 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 则 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问 题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 


. 与 Telnet 相 比 ， 人 们 为 什么 更 喜欢 SSH? 
. 哪 一 组 工具 具有 “受信 访问 ”的 概念 ? 
， 哪 一 个 协议 使 用 MIB 来 组 织 它 的 数据 ? 
.为 什么 说 SNMP 提 供 的 是 受 限 的 视图 ? 
. RMON 2 为 RMON 1 添加 了 什么 功能 ? 
15.10.2 练习 
1. 以 安全 性 为 顺序 ， 列 举 出 3 种 登录 到 远程 机 器 的 方法 。 
2. 查看 图 15.7， 找 出 与 接口 信息 相关 的 MIB 地 址 。 
3. 查看 图 15.7， 找 出 RMON 警 告 组 的 MIB 地 址 。 
4. 列举 出 SNMP 的 一 些 缺 点 。 
5. 使 用 SSH 登 录 到 一 台 远 程 机 器 。 如 果 无 法 访问 远程 机 器 ， 可 以 
登录 到 自己 的 机 器 。 


15.11 关键 术语 
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复习 下 列 关 键 术 语 : 

> 代理 : 加 载 到 某 台 主机 上 的 SNMP 软件 ， 它 能 够 读 取 MIB 并 以 
9 代理 能 够 在 重要 异常 事件 发 生 时 间 监 视 器 传送 
土 马 消 忆 。 

> 社区 字符 串 : 与 一 个 SNMP 网 络 或 监控 组 相关 的 名 称 。 

> 管理 信息 库 (MIB) : SNMP 监 视 器 和 代理 使 用 的 一 种 分 层 地 
址 空间 。 通 过 使 用 虚线 符号 ， 以 从 MIB 结 构 的 根部 向 下 搜索 MIB 地 址 的 
方式 ， 来 定位 MIB 中 的 特定 参数 。 

> 探测 器 : 代理 的 别称 。 在 涉及 RMON 时 ， 经 常 使 用 这 个 术语 。 

> rcp: 一 种 远程 文件 传输 工具 。 

> 远程 监控 (RMON) : 一 种 服务 和 MIB 扩 展 ， 能 提供 比 传 统 的 
SNMP 更 强大 的 功能 。 为 了 在 RMON MIB 中 存储 数据 ， 代 理 或 探测 器 中 
必须 包含 RMON 软 件 。 

> rexec: 一 种 远程 命令 执行 工具 。 

> rlogin: 一 种 远程 登录 工具 。 

> rsh: 一 种 远程 命令 执行 工具 。 

> ruptime: 一 种 显示 正常 运行 时 间 和 连接 用 户 数 量 等 系统 信息 的 

工具 。 

> rwho: 一 种 显示 当前 连接 用 户 信息 的 工具 。 

> 安全 外 过 (SSH) : 一 组 工具 ， 它 可 以 提供 一 个 安全 而 且 加 密 
的 远程 外 壳 访 问 解 决 方案 。 

> Shell: 操作 系统 的 命令 行 接口 。 
是 > 简单 网 络 管理 协议 CSNMP ) : 一 种 用 于 管理 TCP/IP 网 络 资源 
和 协议。 

> Telnet: 一 种 一 度 很 流行 的 远程 终端 工具 ， 现 在 基本 上 被 更 为 安 
全 的 SSH 取 代 。 
本 陷阱 : SNMP 代 理发 送 的 一 个 主动 消息 ， 用 来 通知 发 生 了 某 一 
| 。 

> 受信 访问 : 一 种 薄弱 的 安全 系统 ， 系 统管 理 员 在 其 中 指定 可 以 
访问 本 地 系统 的 受信 远程 主机 和 用 户 。 














第 16 章 经 典 尼 


本 章 介 绍 如 下 内 容 : 
> FTP; 


> TFTP; 

> NEFS; 

> SMB 和 CIFS; 

> LDAP。 

现在 为 止 ， 我 们 已 经 知道 TCP/IP 协议 艇 是 用 于 网 络 通信 的 一 个 通 
用 系统 。 如 果 你 打算 编写 一 个 服务 器 应 用 程序 ， 或 者 编写 一 个 客户 端 应 
用 程序 ， 抑 或 是 捆绑 网 络 电缆 ， 你 可 以 创建 一 个 具有 广泛 用 途 的 工具 。 
但 是 ， 大 多 人 还 是 更 愿意 使 用 已 经 编写 好 的 工具 。 

在 Internet 的 早期 ， 大 量 古 老 的 服务 发 挥 了 重要 的 作用 。 本 书 第 一 
版 就 曾经 对 这 些 服务 进行 过 讲解 ， 其 中 包括 Archie、Veronica 和 
Gopher。 这 些 服 务 如 今 都 已 经 被 功能 更 强大 的 超 文 本 传输 协议 

(Hypertext Transfer Protocol，HTTP) 服务 〈 位 于 万 维 网 的 核心 位 置 ) 

取代 。 本 章 将 讲解 一 些 最 重要 的 标准 服务 ， 这 些 服务 如 今 仍然 在 TCP/TP 
网 络 中 运行 。 在 TCP/IP 协 议 系 统 中 ， 这 些 服务 都 运行 于 应 用 层 ， 并 通过 
传输 层 端口 来 监听 服务 请 求 。Internet 上 的 大 多 数 活 动 均 这 些 工 具 相 关 ， 

因此 它们 引起 了 IT 从 业 人 员 的 关注 。 本 章 会 讲解 

> HTTP; 

> E-mail; 

> FTP 文 件 传 输 ; 

> 文件 和 打印 服务 ; 

> LDAP:; 

> IRC 和 IM 通信 。 

本 书后 面 章 节 中 将 会 讲 到 ，Web 上 作为 单独 功能 〈activity) 而 出 现 
的 许多 工具 《比如 社交 化 网 络 和 流 〈streaming) ) 都 是 HTTP 所 文 持 的 
Web 基 础 设施 的 扩展 。 第 18 章 将 会 详细 讲解 HITP 和 万 维 网 。E-mail 是 另 
外 一 个 相当 重要 的 Internet 功 能 ， 因 此 有 必要 单独 拿 出 一 章 《〈 见 第 21 章 ) 
对 其 详细 讲解 。 

本 章 主 要 关注 的 是 已 连 网 用 户 可 以 使 用 的 服务 ， 用 户 可 以 根据 他 们 
的 网 络 行为 选择 相应 的 服务 。 有 些 底层 服务 虽然 不 会 被 用 户 看 到 ， 比 如 
DNS 〈 见 第 10 章 ) 、DHCP 〈 见 第 12 章 ) ， 以 及 像 ping 这 样 的 排 错 工具 

( 见 第 14 章 ) 但 是 它们 也 非常 重要 。 























16.1 HTTP 


在 Internet 早期 ， 一 度 通 过 许多 独立 工具 来 引发 的 行为 ， 以 及 近年 
来 出 现 的 大 量 创新 性 的 应 用 开发 ， 现 在 都 被 无 处 不 在 而 且 功 能 强大 的 





HTTP 所 赛 括 。HTTP 作 为 万 维 网 现象 的 核心 ， 从 本 质 上 讲 是 一 个 应 用 程 
协议 ， 它 用 来 传输 和 请 求 HTML 格 式 的 数据 和 图 片 。 

HTTP 包 含 了 大 量 的 主题 ， 因 此 难以 进行 简要 概括 。 第 18、19、20 
章 讲 到 的 HITP 和 HTML 都 致力 于 这 个 重要 的 服务 以 及 与 其 相关 的 技 
术 。 就 本 章 而 言 ， 要 记 住 ， 市 有 单词 Web 的 任何 事务 都 与 HITP 相 关 。 
Web 服 务 器 从 根本 上 讲 就 是 一 个 HTTP 服 务 器 。Web 站 点 是 一 个 可 以 通 
过 HTTP 访 问 的 文件 、 链 接 或 其 他 资源 的 目录 。 网 管 (webmaster) 就 是 
知道 如 何 与 HTTP、HTML 以 及 将 Web 站 点 整合 起 来 的 其 他 组 件 打交道 
的 人 。 博 客 和 社交 化 网 络 站 点 使 用 的 就是 HTTP。 如 今 的 内 容 管 理 系统 
(Content Management System，CMS) 将 用 户 从 硬 编码 的 HTML 标 记 的 
繁 文 丝 节 中 解放 出 来 。 但 是 ， 从 本 质 上 来 讲 ， 这 些 内 容 管理 系统 仍然 是 
通过 HTTP 来 运行 的 。 

有 关 HTTP 重 要 主题 的 详细 信息 ， 请 见 本 书后 面 的 章节 。 


16.2 E-mail 








电子 邮件 是 Internet 中 一 项 重要 服务 。 大 量 的 Pnternet 用 户 每 天 都 会 
(在 家 或 在 办 公 室 ) 发 送 几 十 封 邮件 信息 。 

与 其 他 Internet 服务 相同 ，E-mail 也 依赖 于 客户 端 应 用 程序 (通常 
是 个 人 计算 机 上 的 一 个 E-mail 客户 端 软 件 ) 和 服务 器 应 用 程序 之 间 的 交 
互 。 实 际 上 ， 标 准 的 E-mail 依 赖 于 一 对 服务 器 系统 ， 这 一 对 服务 器 就 是 
你 在 E-mail 客 户 端 软件 的 配置 界面 进行 配置 的 “接收 服务 器 >” 和“ 发送 服 务 
器 ”。 发 送 服务 器 〈 使 用 简单 邮件 传输 协议 〈SMTP ) ) 先 接收 你 编写 并 
发 出 的 E-mail 消 息 ， 然 后 将 其 通过 一 个 SMTP 服 务 器 网 络 转发 到 目的 地 
址 。 接 收 邮件 的 服务 器 〈 通 常 使 用 POP 或 IMAP 协 议 ) 接收 发 往 你 的 邮 
i 消息 ， 然 后 等 符 你 的 邮件 客户 端 软 件 发 出 连接 请 求 和 访问 消 县 

请求 。 

大 多 数 邮件 服务 器 都 是 由 Internet 服务 提供 商 来 运营 ， 它 们 也 可 以 
由 为 其 成 员 或 员工 提供 E-mail 连通 性 的 公司 、 机 构 和 组 织 来 运营 。 

有 关 TCP/IP 之 上 的 E-mail 的 完整 讨论 ， 请 见 第 21 章 。 





16.3 FTP 





文件 传输 协议 〈FTP) 是 一 个 广泛 应 用 的 协议 ， 它 允许 用 户 在 
TCP/IP 网 络 上 的 两 台 计 算 机 之 间 进 行文 件 传 输 。 文 件 传 输 应 用 程序 ( 通 
党 被 称 为 fp) 使 用 FTP 来 传输 文件 。 用 户 在 一 台 计 算 机 上 运行 FTP 客 
户 问 应 用 程序 ， 在 另 一 台 计 算 机 上 运行 FTP 服务 端 程序 ， 例 如 
UNIX/Linux 系 统 上 的 ftpd 程 序 (FTP daemon) ， 或 者 其 他 平台 上 的 FTP 





服务 。 许 多 FTP 客 户 端 程序 是 基于 命令 行 的 ， 但 也 有 基于 图 形 界 面 的 版 
本 。EFTP 主 要 用 来 传输 文件 ， 但 是 它 也 可 以 执行 其 他 功能 ， 例 如 创建 目 
录 、 删 除 目 录 和 列 出 目录 文件 等 。 

注意 : FTP 和 Web 

FTP 广 泛 应 用 于 万 维 网 中 ， 而 且 FTP 协 议 也 已 经 集成 进 大 多 数 Web 
浏览 器 中 。 有 时 ， 当 你 通过 Web 浏览 器 下 载 文件 时 ， 你 可 能 已 经 注意 
到 ， 地 址 栏 中 的 URL 是 以 ftp:// 打 头 的 。 

FTP 使 用 TCP 协 议 ， 因 此 它 是 通过 客户 端 计算 机 和 服务 器 计算 机 之 
间 的 面 癌 连接 的 可 靠 会 话 进行 操作 的 。 标 准 的 FTP daemon〔 在 服务 器 
端 ) 在 TCP 的 21 端口 监听 来 自 客 户 端 的 请 求 。 当 客户 端 发 送出 一 个 请 求 
后 ， 它 就 会 发 起 一 个 TCP 连接 〈 见 第 6 章 ) ， 此 时 远程 用 户 就 会 被 FTP 
服务 器 进行 验证 ， 然 后 开始 会 话 。 经 典 的 基于 文本 的 FTP 会 话 需要 远程 
用 户 利 用 命令 行 界面 通 服 务 器 进行 交互 。 典 型 的 命令 语句 可 以 开始 或 停 
止 FTP 会 话 、 远 程 浏览 目录 结构 ， 以 及 上 载 或 下 载 文件 等 。 较 新 的 基于 
图 形 用 户 界 面 的 FTP 客 户 端 提 供 一 个 图 形 界 面 〈 而 是 命令 行 界 面 ) 来 浏 
览 目 录 和 移动 文件 。 

注意 : daemon 和 服务 

在 UNIX 中 ，daemon 是 一 个 在 后 台 运 行 的 进程 ， 当 对 某 一 服务 发 出 
该 进程 将 执行 所 请 求 的 服务 。 在 Windows 中 ，daemon 被 称 为 服 


在 大 多 数 计算 机 中 ， 输 入 ftp 加 主机 名 或 FTP 服 务 器 的 IP 地 址 就 可 以 
开启 一 个 基于 文本 的 FTP 会 话 ， 之 后 ，FTP 会 提示 你 输入 用 户 名 和 密 
人 码 ，FTP 服 务 器 通过 它们 来 验证 你 的 授权 并 决定 你 的 权限 。 例 如 ， 你 登 
录 的 用 户 账 户 可 能 只 有 只 读 权 限 ， 也 可 能 被 配置 为 同时 具有 读 写 操作 权 
限 。 许 多 FTP 服 务 器 开放 公众 使 用 ， 并 人 允许 以 匿名 用 户 名 进行 登录 〈 通 
常 只 能 具有 只 读 访 问 权 限 ) 。 当 使 用 匿名 账户 名 时 ， 您 可 以 使 用 任意 密 
码 ， 不 过 ， 在 习惯 上 该 密码 一 般 使 用 电子 邮件 的 账户 名 。FTP 服 务 器 不 
开放 公众 使 用 时 ， 束 被 设置 为 不 支持 匿 访问 ， 此 时 ， 必 须 输 入 用 户 名 和 
0 
ESo 

许多 FTP 客 户 端 工具 允许 使 用 基于 UNIX 或 基于 DOS 的 命令 ， 实 际 
可 用 的 命令 取决 于 被 使 用 的 客户 端 软件 。 当 使 用 FTP 传 输 文件 的 时 候 ， 
必须 为 FTP 指 定 将 要 传输 文件 的 类 型 ， 最 常见 的 选择 是 二 进 制 和 ASCII 
码 。 要 传输 简单 文本 文件 时 应 选择 ASCII 码 ， 当 要 传输 的 文件 是 程序 文 
件 、 字 处 理 文档 或 图 片 时 则 选择 二 进 制 文 件 。 默 认 选 项 为 ASCII 码 。 

请 注意 ， 众 多 的 FTP 服 务 器 架设 在 UNIX 或 Linux 系 统 的 计算 机 上 ， 
这 些 系统 是 区 分 大 小 写 的 ， 所 以 输入 文件 名 的 时 候 请 严格 区 分 大 小 写 。 
































本 动 FTP 会 话 以 后 ， 接 收 和 发 送 的 文件 会 默认 置 于 本 地 计算 机 的 当前 
目录 。 

下 面 列 出 一 些 常 用 的 FTP 命 令 语 句 及 对 它们 的 解释 。 

> ftp: ftp 命 令 用 于 启动 一 个 FITP 客 户 端 程序 。 可 直接 输入 ftp， 或 
输入 ftp 加 一 个 IP 地 址 或 域名 。 在 图 16.1 中 ， 我 们 通过 输入 ftp 


rs.internic.net 命令 启动 了 一 个 与 rs.internic.net 的 FITP 会 话 。 





He Edt View Jarrminal Tabs Help 


jcasadesuvugar:~$ ftp rs,.internic.net 
Connected to rs.internic.net. 


226 着 
220 BG ee 
226 -55 InterNIiC Public FTP Server ees 
220 es 
S2909 Login with vsername "anoNnymous” ees 
220-*°*%s You may change directories to the following: ”esf 
228- ee 
7 domain - Root Domain Zone Files ™***w*s* 
226 TC 
P0099 Unauthorized access to this $ystem may "ses" 
22 和 -sses result 1n criminal Prosecution， rr 
220 0 
da0-.00%009 All sessions established with this Server are “sr 
220-00000 monitored and logged, Disconnect now if YOU do “rr 
二 BEE not consent to having YOUr actions monitored ****s* 
220-.00000 md OO 000008Cveeee 
220. I 
220 着 人 
226- 

220- 


220 FTP server ready, 
Name (rs,intoernic, net:]casad): 0 


图 16.1 启动 一 个 FTP 会 话 


> user: 在 当前 会 话 中 ， 可 以 使 用 user 命 令 来 更 改 用 户 映 份 名 称 和 
密码 信息 。 这 条 命令 提示 你 输入 新 的 用 户 吴 份 名 称 和 密码 ， 就 如 同 使 用 
ftp 命令 一 样 。user 命令 等 效 于 退出 当前 FTP 会 话 然后 以 新 用 户 喘 份 进行 

> help: help 命 令 列 出 FIP 客户 端 文 持 的 所 有 ftp 命 令 ( 见 图 
16.2) 。 














Ble Edt View Terminal Tabs Help 
ftp> help 
Commands may be abbreviated Conmnands are 

debug miir qc send 
5 dir forget sendport site 
account disconnect mkdir put size 
append exit ms pwd status 
ascii form POCOe quit struct 
bell get modt ime quote system 
binary glob mput recy sunique 
bye hash mewer reget tenex 
case help naap rstatus tick 
cd idie nlist rhelp trace 
cdup image ntrans rename type 
chmod led open reset USer 
close \s pronpt restart UmASK 
cr macdef passive rngir verbose 
delete mjelete proxy runique ? 
ftp 





图 16.2 在 FTP 提 示 符 下 输入 help， 以 获得 所 有 的 FTP 命 令 


> ls 或 dir: UNIX/Linux 系 统 下 的 1s 或 1s -命令 ,或 者 是 Windows 系 
统 下 的 dr 命令， 都 会 列 出 某 个 目录 的 内 容 。 这 些 命令 执行 后 ， 会 返回 
FTP 服 务 器 上 当前 工作 目录 内 的 文件 名 和 目录 名 。 在 两 条 系统 消息 
(150 和 226 之 后 的 行 ) 之 间 ， 即 为 实际 的 目录 列表 ， 包 含有 当前 工作 目 
录 内 的 所 有 文件 和 子 目 录 。1s -] 命 令 与 ls 命令 类 似 ， 但 是 会 列 出 更 多 细 
节 人 信息， 例如 允许 用 户 读 写 的 权限 和 文件 创建 日 期 等 。 

> pwd: 使 用 pwd 命 令 显 示 当 前 工作 目录 的 名 称 。 这 里 指 的 是 远程 
服务 器 上 的 目录 ， 而 非 本 地 计算 机 的 目录 。 

> cd: 使 用 cd 命令 改变 FTP 服 务 器 上 的 当前 工作 目录 。 

> mkdir: 在 UNIX/Linux 系 统 下 ， 使 用 mkdit 命 令 在 FIP 服务器 上 
1 前 工作 目录 下 创建 一 个 目录 。 此 命令 在 匿名 FTP 会 话 中 通常 不 允许 

> rmdir: 在 UNIX 系 统 下 ， 使 用 rmdir 在 FTP 服 务 器 上 的 当前 工作 
目录 下 移 除 一 个 目录 。 此 命令 在 匿名 FTP 会 话 中 通常 不 允许 使 用 。 

binary: 使 用 binary 命 令 将 FTP 客 户 端 默认 的 ASCII 码 传输 方式 改 
为 二 进 制 方式 。 在 二 进 制 方式 下 ， 通 过 使 用 get、put、mget 和 mpnut 命 
令 ， 可 以 高 效 传 递 如 程序 或 图 片 等 二 进 制 文件 。 
是 > ascii: 使 用 ascii 命 令 将 FTP 客 户 端的 传输 方式 改 为 ASCII 码 方 
工 No 

> type: 使 用 type 命 令 显 示 当 前 文件 传输 方式 〈ASCII 码 方式 或 二 
Eh 
































> status: status 命 令 用 于 显示 FTP 和 客户 端的 各 种 设置 信息 ， 包 括 客 
户 端 设置 的 传输 方式 〈ASCII 码 方式 或 二 进 制 方式 ) 和 在 客户 端 是 售 显 
示 详 细 的 系统 信息 。 

> get: 使 用 get 命 令 从 FTP 服 务 器 端 癌 FTP 客 户 端 下 载 文 件 。 执 行 
get 后 边 跟 一 个 文件 名 的 命令 时 ， 会 将 这 个 文件 从 服务 问 端 复制 至 客户 
端的 当前 工作 目录 中 。 执 行 get 后 边 跟 两 个 文件 名 的 命令 时 ， 在 客户 端 
创建 的 新 文件 的 名 称 由 第 2 个 文件 名 指定 。 

> mget: mget 命 令 类 似 于 get 命 令 ， 但 使 用 mget 命 令 可 以 一 次 下 载 
1 

> put: 使 用 put 命 令 从 FTP 客 户 端 癌 FTP 服 务 器 端 上 传 文件 。put 命 
令 后 边 跟 一 个 文件 名 时 ， 将 这 个 文件 从 客户 端 复 制 到 服务 器 端 。pnut 命 
人 在 服务 器 问 创 建 的 新 文件 的 名 称 由 第 2 个 文件 

站 定 。 

> mput: mput 命 令 类 似 于 put 命 令 ， 但 使 用 mput 命 令 可 以 一 次 上 传 
多 个 文件 。 

> open: 使 用 open 命 令 可 以 和 FTP 服 务 器 建立 一 个 新 的 对 话 。open 
命令 等 效 于 立即 退出 当前 FTP 会 话 并 重新 登录 。open 命 令 可 用 于 登录 一 
个 完全 不 同 的 FTP 服 务 嚣 或 者 重新 登录 当前 服务 器 。 

> close: 使 用 close 命 令 结束 当前 与 FTP 服 务 器 的 对 话 。FTP 客 户 并 
程序 此 时 依然 运行 ， 可 以 使 用 open 命 令 同 FTP 服 务 器 建立 新 的 对 话 。 

> bye 或 quit: 使 用 bye 或 quit 命 令 ， 将 关闭 当前 FTP 会 话 并 结束 FTP 
客户 端 程序 。 

于 面 介 绍 的 命令 虽然 没有 包含 所 有 的 FTP 命令 ， 不 过 涵盖 了 FTP 会 
话 中 的 大 部 分 应 用 命令 。 

尽管 上 面 提 到 的 命令 列表 没有 奢 括 所 有 的 FIP 命令， 但 是 它们 在 
FTP 会 话 期 间 会 经 常用 到 。 

绝 大 多 数 现代 计算 机 系统 文 持 以 命令 行 方式 运行 的 FTP， 而 新 一 代 
的 图 形 FTP 客 户 端 则 降低 了 通过 命令 行进 行 输 入 的 要 求 。 访 问 FTP 的 用 
户 通 常 选择 图 形 界面 的 客户 端 ， 这 类 客户 病 可 以 像 我 们 平时 使 用 的 文件 
浏览 器 一 样 显 示 和 管理 文件 资源 。 

FTP 协 议 是 一 个 相对 古老 的 协议 ， 早 在 强调 网 络 安全 之 前 它 就 形成 
了 。 在 最 近 对 该 协议 规范 的 更 新 中 (如 RFC 2228“FTP Security 
Extensions”) ， 加 入 了 一 些 重要 的 保护 措施 (例如 更 安全 的 验证 ) ， 但 
是 ，FTP 仍 然 被 认为 是 不 够 安全 的 。 

尽管 存在 安全 问题 ，FTP 仍 然 相 当 受 欢迎 。FTP 协 议 为 上 传 和 下 载 
文件 提供 了 一 个 方便 的 机 制 ， 这 些 文件 包括 普通 文档 和 因为 太 大 无 法 而 

















由 电子 邮件 分 发 的 文件 。 相 比 电子 邮件 ， 使 用 FTP 上 传 文件 的 一 大 优势 
是 可 以 使 用 FTP 命 令 来 确认 服务 器 上 的 文件 ， 进 而 检测 出 文件 是 否 已 经 
抵达 目的 地 。 

如 果 你 需要 比 普 通 FTP 更 为 安全 的 工具 ， 可 以 考虑 使 用 SSH 工 具 包 
( 见 第 15 章 ) ， 它 包含 了 scp 和 sftp 文 件 传 输 工 具 。 


16.4 简单 》 渝 协议 (CTETP) 





简单 文件 传输 协议 〈Trivial File Transfer Protocol，TEFETP) 用 于 在 
TFTP 客 户 端 和 TFTP 服 务 器 之 间 传 输 文件 ， 其 中 TFTP 服 务 器 就 是 一 台 
运行 tftpd TFTP deamon 的 计算 机 。TFTP 基 于 UDP 协议 进行 文件 传输 ， 
与 FTP 不 同 的 是 ，TFTP 传 输 文 件 时 不 需要 用 户 进行 登录 。 正 因为 如 此 ， 
0 特别 是 当 TFTP 服务 器 允许 写 入 
菜 作 时 。 

TFTP 协 议 被 设计 得 短小 精 悍 ， 这 样 它 和 UDP 协 议 就 都 可 以 在 一 片 
可 编程 只 读 存 储 器 (PROM) 芯片 上 实现 。 同 FTP 协议 相 比 ，TFTP 协 
议 的 功能 很 有 限 ， 它 名 称 中 的 首 字母 T 代 表 trivial， 束 是 平 几 、 微 不 足 
道 的 意思 。TFTP 协议 只 能 进行 文件 读 写 操作 ， 无 法 列 出 目录 中 的 内 
容 、 创 建 或 移 除 目 录 ， 也 不 允许 用 户 像 FTP 一 样 进行 登录 认证 。TFTP 协 
议 的 主要 用 途 是 与 RARP 和 BOOTP 协 议 结合 ， 完 成 无 盘 工 作 站 的 启动 工 
作 ， 在 某 些 时 候 ， 也 执行 上 传 新 系统 代码 或 为 路 由 喜 等 网 络 设 备 安装 补 
丁 程序 的 任务 。TFTP 协 议 传 输 中 有 3 种 模式 : netascii， 使 用 ASCII 码 
octet， 二 进 制 数据 格式 ;最 后 一 种 是 mail， 但 是 已 经 不 

当 用 户 在 命令 行 中 执行 tttp 命 令 时 ， 计 算 机 便 开 始 建立 与 服务 器 的 
连接 并 执行 文件 传输 操作 。 文 件 传 输 结束 时 ， 会 话 结束 并 断 开 连接 。 
TFTP 命 令 的 语法 如 下 所 示 : 

TFTP [-i] host [get | put] <source filename> [<destination filename>] 

有 关 TFTP 协 议 的 更 多 细节 ， 请 见 RFC 1350。 

















16.5 》 [打上 


像 fp 和 tftp 这 样 的 工具 都 是 运行 在 TCP/PP 协 议 栈 应 用 层 上 的 独立 应 
用 程序 。 这 些 工 具 在 它们 刚 出 现 的 那个 时 代 具 有 很 大 优势 ， 并 且 如 今 在 
某 些 环境 中 仍然 有 用 武之 地 ， 但 是 软件 三 两 和 Internet 梦想 家 已 经 在 开 
始 寻 找 更 加 通用 的 解决 方案 。 他 们 的 目标 是 将 远程 文件 访问 与 本 地 文件 
访问 相 集 成 ， 以 便 使 本 地 资源 和 远程 资源 通过 同一 个 接口 来 访问 。 

在 第 7 草 我 们 讲 到 ， 集 成 网 络 文件 访问 的 部 分 功能 要 求 客 户 端 计算 








机 上 有 一 个 重 定 回 器 《或 请 求 程序 ) ， 以 截获 资源 请 求 ， 并 把 与 网 络 相 
关 的 请 求 路 由 给 当前 网 络 。 这 种 解决 方案 的 另 一 部 分 是 一 种 通用 的 文件 
访问 协议 ， 通 过 构建 一 个 完整 的 协议 层 ， 来 使 得 基于 GUI 的 用 户 界 面 工 
县 和 其 他 应 用 程序 可 以 访问 网 络 。 对 于 本 地 网 络 来 说 ， 这 种 文件 访问 方 
0 的 首选 方法 。 下 面 几 个 小 节 将 会 介绍 一 对 提供 集成 网 络 文件 访 
问 的 协议 。 

> 网 络 文 件 系统 (Network File System，NES) : 在 UNIX 和 
Linux 系 统 中 使 用 的 协议 。 

> 通用 Internet 文 件 系 统 / 服 务 嚣 消息 块 (Common Internet File 
System/Server MessageBlock，CIFS/SMB ) : 用 于 为 Windows 客 户 端 提 
供 远 程 文件 访问 的 协议 。 

这 些 协议 展示 了 TCP/IP 应 用 层 的 能 力 ， 以 及 围绕 民 好 定义 的 协议 
栈 建 立 一 个 网 络 系统 可 以 获得 的 收益 ， 在 这 个 系统 中 ， 底 层 协 议 为 上 层 
多 种 专用 的 协议 构建 了 基础 。 

16.5.1 网 络 文 


网 络 文件 系统 CNFS) 最 初 由 SUN 公 司 开 发 ， 现 在 被 UNIX、Linux 
和 其 他 众多 操作 系统 支持 。NFS 人 允许 用 户 像 在 本 地 一 样 访 问 远程 计算 机 
的 目录 和 文件 ， 执 行 包括 读 、 写 、 建 立 和 删除 等 操作 。 由 于 NFS 被 设 
计 为 在 本 地 文件 系统 和 远程 计算 机 文件 系统 之 间 提 供 透 明 接口 ， 而 且 它 
是 在 这 两 台 计 算 机 的 操作 系统 内 部 实现 的 ， 因 此 不 需要 对 应 用 程序 做 任 
何 改动 。 通 过 NFS， 应 用 程序 能 够 同时 访问 本 地 和 远程 计算 机 上 的 文件 
和 目录 ， 不 需要 做 任何 重新 编译 或 其 他 改动 。 对 用 户 而 言 ， 所 有 的 文件 
和 目录 就 好 像 都 存在 于 本 地 计算 机 上 一 样 。 

NFS 最 初 使 用 UDP 协议 进行 数据 传输 并 运行 于 局 域 网 之 中 ， 在 最 近 
的 版 本 里 ，NFS 开 始 允 许 使 用 TCP 协 议 。TCP 附 加 的 可 靠 性 赋予 NFS 更 
多 的 能 力 ， 使 其 现在 可 以 在 广域网 上 运行 。 

NEFS 被 设计 成 独立 于 操作 系统 、 传 输 协议 和 物理 网 络 架 构 之 外 的 系 
统 ， 这 使 得 NFS 客 户 端 可 以 与 任何 NFS 服 务 器 进行 交互 。 这 种 独立 性 是 
通过 在 客户 端 和 服务 器 计算 机 之 间 使 用 远程 过 程 调用 (Remote 
Procedure Call，RPC) 来 实现 的 。RPC 人 允许 在 本 地 运行 的 程序 调用 运行 
于 其 他 计算 机 上 程序 的 内 部 代码 段 。RPC 已 经 流传 了 多 年 并 被 多 种 操作 
0 
过 程 调 用 。 

NFS 系 统 中 ， 在 远程 文件 和 目录 被 使 用 之 前 ， 它 们 必须 首先 经 历 名 
为 安装 (mounting) 的 过 程 ， 在 安装 之 后 ， 远 程 文件 和 目录 就 可 以 像 在 
本 地 文件 系统 中 一 样 显 示 和 使 用 了 。 
































当前 ，NFS 协 议 的 最 新 版 本 是 第 4 版 ，RFC 3530 对 其 进行 了 讲解 。 
有 关 NFS 早 期 版 本 的 信息 ， 可 查阅 RFC 1094 和 RFC 1813。NFS 的 具体 实 
现 随 操 作 系 统 而 变 。 有 关 如 何 为 你 的 操作 系统 配置 NFS 的 信息 ， 请 查阅 
厂商 提供 的 文档 。 
16.5.2 服务 消息 块 和 通用 Internet 文 件 系 


服务 器 消息 块 (SMB) 是 一 个 支持 Windows 用 户 界 面 的 网 络 集成 工 
具 的 协议 ， 这 些 工具 包括 资源 管理 器 、 网 上 邻居 和 网 络 驱 动 器 映射 等 。 
SMB 被 设计 为 运行 于 各 种 不 同 协议 系统 之 上 ， 这 些 系统 包括 

IPX/SPX (传统 的 NetWare 协 议 栈 ) 、NetBEUI (一 种 过 时 的 PC LAN 协 
议 ) 和 TCP/IP。 

如 同 其 他 网 络 协 议 一 样 ，SMB 围绕 着 客户 端 (请 求 服务 的 计算 
机 ) 和 服务 器 (提供 服务 的 计算 机 〉 的 概念 而 设计 。 每 次 会 话 都 始 于 一 
次 信息 的 初步 交换 ， 包 括 对 SMB 语 法 的 协商 、 对 客户 端的 认证 和 登录 服 
务 器 。 认 证 过 程 的 细节 因 操 作 系 统 和 配置 的 不 同 而 不 同 ， 不 过 就 SMB 而 
言 ， 登 录 是 封装 在 sesssetupX SMB 中 的 《SMB 协议 下 的 协议 传输 被 简单 
地 称 为 一 个 SMB) 。 

如 果 登 录 成 功 ， 客 户 端 会 发 送 一 个 SMB， 用 于 指定 要 访问 的 网 络 共 
享 名 称 ， 如 果 共 享 访问 成 功 ， 客 户 端 就 可 以 开始 对 网 络 资源 执行 各 种 操 
J 关闭 、 读 取 或 写 入 等 ， 而 服务 器 会 发 送 必 要 数据 来 完成 
这 些 请 求 。 

SMB 通 常 被 认为 是 一 个 Windows 协 议 ， 的 确 是 这 样 ，SMB 的 重要 性 
体现 在 它 与 Windows 客 户 端 用 户 界 面 的 紧密 集成 。 SMB 的 一 个 开放 标准 
版 本 被 称 作 通用 Internet 文 件 系 统 (CIFS) 。 开 发 人 员 和 支持 服务 器 与 
Windows 客 户 问 进行 SMB 连 接 的 操作 系统 ， 都 很 了 解 SMB 和 CIFS 协 议 的 
细节 。 一 种 名 为 Samba〔 可 以 注意 到 ，SMB 加 上 两 个 元 音 ， 束 成 了 一 种 
舞蹈 ) 的 流行 开源 服务 器 为 UNIX/Linux 系 统 提 供 SMB 文 件 服务 。 

当 在 Windows 中 配置 文件 共享 时 ， 实 质 上 是 将 计算 机 配置 为 一 个 
CIFS 服 务 右 〈 见 图 16.3) 。 当 从 另外 一 个 系统 连接 一 个 共享 资源 时 ， 这 
个 系统 会 将 资源 识别 为 Windows Network， 然 后 使 用 内 置 的 SMB/CIFS 客 
户 端 软 件 进行 连接 。 
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图 16.3 当 在 Windows 中 配置 文件 共享 时 ， 实 际 上 是 将 其 配置 为 使 用 
SMB/CIFS 协议 


SMB/CIFS 凭借 其 通用 性 得 到 了 广泛 的 文 持 ， 因 此 当 网 络 中 混杂 了 
不 同类 型 的 操作 系统 时 ， 会 考虑 使 用 SMB/CIFS。SBM 除 了 得 到 
Windows 客 户 端的 文 持 之 外 ， 还 得 到 了 Linuxz 和 Mac OS 客 户 端的 文 持 ， 
因此 它 成 为 小 型 网 络 的 一 个 理性 选择 。 在 服务 器 端 ， 人 免费 的 Samba 服 务 
髓 已 经 成 为 一 球 复 杂 的 工具 ， 它 运行 尺 好 ， 并 且 能 够 与 Microsoft 目 带 的 
连 网 组 件 很 好 地 集成 。Linux 服务 器 管理 员 即 使 在 需要 与 Windows 进行 
交互 操作 时 ， 也 会 倾向 于 选择 SMB/CIFS。 


16.6 轻型 目录 访问 协 座 


多 年 以 来 ， 专 家 们 一 直 在 考虑 如 何 存 储 和 检索 与 用 户 、 系 统 、 设 备 
以 及 其 他 网 络 资源 相关 的 信息 。 在 较 大 的 网 络 中 ， 以 一 种 统一 有 效 的 方 
式 来 管理 资源 信息 的 难度 日 益 增 大 。 轻 型 目录 访问 协议 (Lightweight 
Directory Access Protocol，LDAP) 最 初 是 作为 X.500 数 据 模 型 的 继任 者 


来 发 出 来 的 ， 它 基于 TCP/IP。LDAP 是 一 个 目录 服务 。 一 台 LDAP 服 务 
器 维护 网 络 资源 的 信息 目录 ， 而 且 这 些 信息 以 树 状 的 逻辑 层次 进行 组 
织 。LDAP 运 行 于 TCP/IP 应 用 层 ， 并 在 熟知 的 TCP 端 口 389 上 监听 请 求 。 
LDAP 协 议 、 数 据 格式 、 以 及 语法 都 在 一 些 列 RFC 文 档 中 有 介绍 。LDAP 
v3 (最 新 版 本 ) 在 RFC 4510~4159 中 有 介绍 。 

在 现代 网 络 中 ， 安 全 系统 并 不 仅仅 意味 着 用 户 名 和 密码 ， 它 远 比 这 
些 复杂 。 首 席 爱 你 ， 网 络 中 通常 会 包含 多 个 服务 器 ， 从 而 可 以 使 用 一 种 
公用 的 方法 ， 让 不 同 的 系统 访问 与 用 户 证 书 相 关 的 信息 。 此 外 ， 网 络 还 
需要 一 种 通用 的 方法 来 指派 、 更 总 和 验证 用 户 对 硬件 资源 (比如 打印 
机 ) 和 文件 、 目 录 的 访问 许可 。 一 旦 编译 完 这 个 通用 的 网 络 信 息 目 录 之 
后 ， 你 也 可 以 用 来 记录 其 他 类 型 的 信息 ， 比 如 员工 合同 信息 、 设 备 生 产 
厂商 的 紧急 电话 号 码 ， 以 及 员工 所 在 的 位 置 ( 这 个 位 置 可 以 指 员工 在 公 
司 中 的 物理 位 置 ， 也 可 以 指 员 工 在 公司 中 的 职位 ) 。 

LDAP 提 供 的 这 种 网 络 信 息 的 通用 结构 ， 使 得 它 可 以 在 TCP/IP 网 络 
中 很 轻易 地 运行 。 最 有 名 的 基于 LDAP 的 系统 或 许 应 该 是 Microsoft 的 活 
动 目录 。 在 开源 世界 中 ，OpenLDAP 也 同样 很 受 欢 迎 。 

LDAP 目录 的 结构 定义 在 一 个 模式 〈schema) 中 。 该 模式 中 包含 一 
组 属性 ， 这 些 属性 定义 了 将 要 存放 在 目录 中 的 数据 。 例 如 ， 一 个 员工 记 
录 的 目录 可 能 包含 员工 姓名 、 地 址 和 usrid 等 属性 。 目 录 中 独立 的 条 目 为 
这 些 属 性 赋值 。 

LDAP 目录 是 以 层次 化 结构 组 织 的 ， 这 与 文件 目录 结构 相同 。 其 中 
每 一 个 条 目 都 一 个 唯一 甄别 名 (Distinguished Name，DN) ， 它 定义 了 
该 条 目 在 树 中 的 位 置 。 唯 一 村 别名 包含 一 个 相对 甄别 名 (Relative 
Distinguished Name，RDN) ， 它 唯一 地 定义 了 其 容器 内 的 条 目 。 此 
外 ， 唯 一 村 别名 中 还 包含 一 系列 组 件 ， 这 些 组 件 定义 了 条 目 所 在 的 容器 
层次 结构 〈 见 图 16.4) 。 


























dn: cn=Ellen Johnson, ou=employees, dc=pearson, dc=com 


dc=com 







dc=pearson 


ou=employees 


Ellen Beth Randol Kelly 
Johnson Anybody Whoever Whozit 


图 16.4 LDAP DN 包含 一 个 定义 了 容器 内 条 目的 RDN， 还 包含 定义 了 容 
器 层次 结构 的 一 系列 组 件 


一 个 DN 看 起 来 可 能 会 如 下 所 示 : 

dn : cn = Ellen Johnson, ou = employees, dc = pearson, dc = com 

注意 ， 在 等 号 左边 由 两 个 字母 组 成 的 属性 类 型 与 名 称 的 值 相关 。 
LDAP 预先 定义 了 一 些 标准 的 属性 类 型 ， 它 们 可 以 用 来 定义 唯一 的 甄别 
名 。 这 些 类 型 属性 如 下 所 示 。 

> 域 组 件 (domain component，dc) : 骸 套 容器 链 中 定义 了 目录 
层次 结构 的 一 个 条 目 。 在 上 面 的 例子 中 ，dc 条 目 指 同 一 个 DNS 域名 
(person.com) 。 以 唯一 对 别名 为 基础 ， 同 时 结合 一 个 域名 ， 是 现代 网 
络 中 第 用 的 一 个 方法 ， 但 是 这 并 不 是 必需 的 。 

> 组 织 单元 (organizational unit，ou) : 对 条 目 进行 编组 以 方便 
管理 的 一 个 容 句 。 一 个 ou 可 能 定义 了 多 个 逻辑 组 ， 比 如 一 个 部 门 ， 而 一 
个 dc 更 可 能 反映 的 是 网 络 自 吴 的 结构 。 

> 规范 名 称 (canonical name，cn) : 对 容器 而 言 唯一 ， 对 用 户 
来 说 便于 识别 的 一 个 对 象 名 称 。 

在 上 面 的 例子 中 ，cn 充 当 RDN， 也 可 以 使 用 另外 一 个 可 以 进行 区 分 
的 属性 ， 比 如 userid 或 雇员 编号 ， 来 充当 唯一 机 别名 内 的 RDN: 

dn: userid = ejohnson，ou = Employees，dc = pearson，dc =com 

与 模式 〈schema) 相关 的 其 他 属性 可 以 包含 你 想 要 与 条 目 进行 关联 
的 其 他 参数 : 











dn: cn = Ellen Johnson，ou = employees，dc = pearson, dc =com 
cn: Ellen Johnson 

userid: ejohnson 

phonenumber: 785-212-2311 

employeeID: 3224177 


LDAP 为 二 进 制 格 式 。 上 面 实例 中 的 字母 数字 表示 法 实际 上 是 
LDAP 数据 交换 格式 (LDAP Data Interchange Format，LDIF) ， 它 主要 
用 于 读 取 和 报告 LDAP 数 据 。 

引用 目录 信息 时 ， 采 用 的 格式 是 传输 给 LDAP 服 务 絮 的 URL 形 式 

(第 17 章 将 详细 讲解 URL 和 RUI 等 知识 ) 。 取 决 于 请 求 的 格式 ，URL 可 
能 会 指明 唯一 对 别名 、 与 碍 询 或 更 新 相关 的 属性 、 定 义 一 个 查找 的 范围 

( 域 》》 和 过 小 标准 ， 以 及 LDAP 标 准 中 摘 述 的 其 他 扩展 。 前 级 (或 模 
式 ) ldap 用 来 将 URL 与 LDAP 协 议 相 关联 。 

下 面 的 URL: 

]dap:/ldap.pearson.comy/userid=ejohnson, ou=Employees, 
dc=pearson,dc=com 

在 ldap.pearson.com 上 引用 了 所 有 属性 ， 这 些 属性 都 与 下 面 的 唯一 杜 
别名 相关 联 : 

userid=ejohnson, ou=employees, dc=pearson, dc=com 

为 了 指明 一 个 特定 的 属性 ， 需 要 使 用 问号 将 其 包围 起 来 : 

ldap://dap.pearson.com/userid=ejohnson,ou=Employees,dc=pearson,d 
c=com?phonenumber? 

有 关 LDAP URL 的 更 多 信息 ， 请 见 RFC 4516。 每 一 个 LDAP 实 现 都 
有 一 组 工具 来 得 询 和 更 新 LDAP 目 录 。 许 多 UNIX 和 Linux 提 供 都 文 持 
ldapsearch、ldapmodify 和 1ldapdelete 命 令 行 工具 。Microsoft 的 活动 目录 中 
包含 一 组 用 户 界 面 工具 ， 可 以 用 来 与 目录 进行 交互 。 

通过 LDAP 来 存储 和 检索 数据 是 完全 有 可 能 的 ， 你 可 以 创建 自己 的 
模式 ， 并 按照 自己 喜欢 的 方式 来 组 织 LDAP 目 录 。 

由 于 LDAP 目录 存储 于 用 户 和 资源 相关 的 信息 ， 因 此 可 以 参与 网 络 
范围 内 的 验证 服务 。 有 时 ，LDAP 也 会 与 其 他 验证 工具 搭配 使 用 ， 从 而 
为 用 户 验证 LDAP 数 据 存 储 提 供 更 为 安全 的 方式 。 例 如 ， 可 以 将 活动 目 
录 与 Kerberos 验 证 《第 11 章 中 讲 到 ) 相 集成 。UNIX/Linux 管 理 员 也 可 以 
将 LDAP 与 Kerberos 或 可 插 拔 的 验证 模块 (Pluggable Authentication 
Module，PAM) 系统 组 合 使 用 。 

与 活动 目录 相似 的 大 多 数 LDAP 基 础 设施 都 提供 了 现成 的 模式 选 
项 ， 以 及 一 组 用 户 界 面 工具 ， 以 方便 用 户 输入 和 访问 LDAP 信 息 。 


























LDAP 服 务 通常 也 提供 了 一 个 复制 系统 ， 它 可 以 将 多 个 服务 器 上 存储 的 
数据 进行 复制 和 同步 。 复 制 功能 提供 了 容错 机 制 ， 并 提升 了 性 能 ， 尤 其 
是 在 大 型 的 多 站 点 网 络 中 。 

像 活 动 目录 这 样 的 现成 系统 都 提供 了 标准 的 用 户 和 资源 管理 服务 ， 
LDAP 也 支持 这 些 服务 ， 除 此 之 外 ，LDAP 还 可 以 很 容易 地 适应 自 定 义 
应 用 程序 。 在 任何 场景 中 ， 只 要 它 在 需要 对 公共 的 数据 存储 进行 网 络 查 
询 ， 或 者 是 想 从 目录 类 型 的 数据 存储 《〈 而 不 是 扁平 式 的 文件 或 SQL 类 型 
的 数据 库 ) 中 获 益 ， 则 可 以 考虑 使 用 LDAP。LDAP 的 模式 框架 可 以 很 
容易 地 适应 面向 对 象 的 编程 方法 ， 而 且 许多 编程 环境 都 提供 了 API 和 其 
他 工具 ， 从 而 为 LDAP 查 询 其 提供 持 支 持 。 


16.7 小 结 


运行 于 应 用 层 的 网 络 服务 创造 了 丰富 而 且 充 满 活 力 的 用 户 环 境 (也 
束 是 Internet) 。 本 章 讲 解 了 一 些 重要 的 网 络 服务 ， 其 中 包括 FTP、 
NFS、SMB 和 CIFS， 以 及 LDAP。 SA 不 简要 介绍 了 HTTP 和 E- 
mail， 这 些 内 容 将 在 后 面 的 章节 详细 介 











16.8 问 与 答 

问 : FTP 默 认 的 传输 类 型 是 什么 ? 

答 : ASCII。 
机 问 : 当 用 户 使 用 匿名 账户 连接 FTP 时 ， 通 常 不 允许 使 用 什么 命 
今 ? 





答 : 孜 名 用 户 通 常 只 有 只 读 访 问 权 限 ， 因此 用 户 无 法 对 FTP 服 务 器 
执行 写 文 件 的 命令 ， 以 及 更 改 目 录 结 构 的 命令 。 这 些 命令 包括 put、 
mkdir、rmdir 和 mput。 

问 : 在 绝 大 多 数 的 现代 网 络 中 ， a 

答 : LDAP 维 护 一 个 网 络 和 用 户 信息 的 目录 ， 该 目录 可 以 通 
TCP/IP 轻 易 访 问 。 


16.9 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 骨 在 为 读者 提供 一 个 机 会 来 应 ee 
念 。 在 继续 学 习 之 前 ， 请 先 完 成 这 些 问题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A 


16.9.1 问题 


FTP 的 put 命 令 与 nput 命 令 的 区 别 是 什么 ? 

. 能 奋 使 用 TFTP 列 出 目录 中 的 文件 ? 

UNIX/Linux Samba 文 件 服务 器 中 使 用 的 文件 服务 协议 是 什么 ? 

16.9.2 练习 

在 一 人 台 真 实 的 匿名 FTP 服 务 器 中 进行 如 下 操作 。 

1. 在 已 经 接 入 Internet 的 计算 机 上 ， 打 开 一 个 终端 或 者 是 带 有 命 
令 提 示 符 的 工具 。 在 Windows 中 ， 在 主 菜 单 或 附件 采 捍 中 找到 命 令 提示 
ne na 
中 ， 可 以 使 用 批 处 理 提 示 符 终端 ; 具体 信息 ， 请 查看 厂商 提供 的 文档 。 

2. 在 终端 窗口 中 ， 输 入 ftp ftp.gnu.org， 访问 GUN 免费 软件 项 目的 
FTP 服 务 嚣 。 如 采 提 示 输 入 用 户 名 ， 请 输入 anonymous。 在 本 书 编写 之 
时 ， 该 站 点 并 不 要 求 输入 密码 。 如 果 它 现在 要 求 输入 密码 ， 或 者 是 你 决 
定 在 男 外 一 个 匿名 的 FTP 站 点 上 进行 尝试 ， 可 以 输入 你 的 电子 邮件 地 址 
作为 密码 。 如 果 登 录 失 败 ， 或 者 是 输入 错误 ， 需 要 从 头 来 过 ， 一 定 要 确 
保 在 再 次 输入 上 述 命令 之 前 ， 先 行 退出 FTP> 提 示 符 。 在 提示 符 中 输入 
quit。 如 果 打 算 通 过 FTP> 提 示 符 来 连接 该 站 点 ， 可 以 使 用 open 命 令 : 
open ftp.gnu.org。 

3. 一 旦 登录 成 功 ， 输 入 命令 ls， 列 出 当前 目录 的 所 有 内 容 。 

4. 要 下 载 README 文 件 ， 可 以 输入 get README 命 令 。 为 了 确保 
README 下 确 地 下 载 到 你 的 计算 机 ， 可 以 在 目录 列表 命令 之 前 添加 ! 
字符 : !1s 或 ! dir (取决 于 你 使 用 的 操作 系统 ) 。 

5. 要 进入 gnu 目 录 ， 请 输入 cd ./gnu。 

6. 为 了 检查 更 改 目录 的 操作 是 否 成 功 ， 可 以 输入 pwd， 列 出 当前 
的 工作 目录 。 

7. 当 打算 结束 对 FTP 站 点 的 访问 时 ， 可 以 输入 close 来 关闭 连接 ， 
然后 再 输入 quit， 退 出 FTP> 提 示 符 。 


16.10 关键 术语 


复习 下 列 关 键 术语 : 
> 通用 Internet 文件 系统 (CIFS) ; SMB 文件 服务 协议 的 开放 
和 最 初 由 Microsoft 进 行 推 广 ， 现 在 用 于 所 有 第 见 的 操作 系统 


目录 服务 ;在 多 个 网 络 中 使 用 的 一 种 信息 服务 ， 它 以 树 状 的 层 
次 化 % 构 来 组 织 和 管理 用 户 和 资源 信息 . 
> 唯一 时 别 名 CDN) : 唯一 定义 LDAP 数 据 中 一 个 对 象 的 名 称 














它 包 含 一 个 相对 甄别 名 和 一 串 标 识 符 ， 这 些 标 识 符 用 来 描述 对 象 所 在 的 
容器 的 层次 。 

> 文件 传输 协议 FTP) : 一 个 客户 端 /服务 器 工具 和 协议 ， 用 来 
在 两 台 计 算 机 之 间 传 输 文件 。 除了 传输 文件 之 外 ， FTP 工 具 还 可 以 创建 
和 移 除 目录 ， 并 显示 目录 中 的 内 容 。 

> 轻型 目录 访问 协议 (LDAP) : 用 来 轻松 访问 TCP/IP 上 的 目录 
服务 的 一 个 协议 。 

> LDAP 数 据 交 换 格式 (LDIF)〉: 用 来 显示 LDAP 数 据 的 一 种 便 
于 阅读 的 格式 。 

> 网 络 文系 统 (NES) : NFS 人 允许 用 户 通 过 一 台 NFS 客 户 端 计算 机 
来 透明 地 访 间 位 于 远程 NFS 服务 器 计算 机 上 的 文件 。 

> 相对 甄别 名 (RDN) : LDAP 对 象 定义 中 红 的 一 个 属性 ， 它 唯 
一 地 识别 了 其 容器 内 的 一 个 LDAP 对 象 。 尽管 其 他 具有 唯一 值 的 属性 也 
可 以 用 作 RDN， 但 是 通常 使 用 的 是 规范 名 称 。 

> 服务 器 消息 块 (SMB) : SMB 是 一 个 应 用 层 协议 ， 它 允许 
Windows 客 户 端 访 问 诸如 文件 和 打印 机 这 样 的 网 络 资源 。 

> 简单 文件 传输 协议 〈TETP) ; 一 款 基于 UDP 的 客户 端 /服务 器 
的 工具 和 协议 ， 用 于 简单 的 文件 传输 操作 。 
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本 章 介 绍 如 下 内 容 : 

> Internet 拓 扑 ; 

> IXP 和 POP; 

> URI 和 URL。 

在 不 断 扩展 中 的 Internet， 是 当今 世界 上 最 大 的 TCP/AP 网 络 实 例 。 本 
草 将 简要 介绍 Internet 的 结构 。 本 书后 面 会 对 Internet 详 细 介绍 ， 其 中 包 
括 万 维 网 (第 18 章 ) 、HTML5 (第 19 章 ) 和 Web 服 务 〈 第 20 章 ) 。 

学 完 本 章 后 ， 你 可 以 : 

> 简要 描述 Internet 的 结构 ; 

> 认识 和 描述 “统一 资源 标识 符 ”(Uniform Resource Identifier) 的 
组 件 。 


17.1 Internet 是 什么 样子 的 


要 想 找到 一 个 有 关 Internet 到 底 是 什么 的 摘 述 ， 您 将 不 得 不 费力 去 寻 
找 。 不 幸 的 是 ， 绝 大 多 数 的 Intemet 描 述 都 喜 简 弃 繁 ， 只 是 给 读者 留 下 一 
种 含糊 的 印象 ， 即 Internet 只 是 一 条 数据 高 速 公 路 。 

实际 上 ，Internet 拓 扑 结构 的 细节 非常 复杂 ， 很 少 有 专业 的 网 络 管理 
员 能 够 精确 地 告诉 你 ， 离 开 其 所 辖 线路 的 数据 发 生 了 些 什 么 事 。 他 们 也 
不 必 知 道 这 些 。TCP/P 的 稳定 性 和 多 功能 性 ， 使 得 数据 报 能 够 一 头 扎 入 
Internet 之 云 ， 然 后 没有 任何 漏 失地 在 地 球 另 一 端 完全 正确 的 位 置 显 
现 。 在 数据 报 扎 入 Internet 之 云 时 ， 它 去 哪里 了 呢 ? 

最 终 发 展 为 Internet 的 初始 ARPAnet 是 基于 骨干 网 络 的 ， 该 骨干 网 络 
在 不 同 的 参与 机 构 之 间 传 输 流 量 。 只 要 你 接 入 到 上 骨干 网 ， 你 就 可 以 与 接 
入 到 该 骨干 网 的 其 他 网 络 共享 信息 〈 见 图 8.9) 。 美 国 国家 科学 基金 会 
的 NSFNET 在 1987 年 取代 了 最 初 的 ARPAnet， 它 对 其 容量 进行 了 扩展 ， 
并 增加 了 许多 功能 。 尽 管 如 此 ， 那 时 的 Internet 在 规模 上 仍然 要 比 今天 的 
































小 ， 而 且 主 要 是 由 大 学 和 科研 机 构 使 用 。NSFNET 仍 然 基 于 同一 个 基本 
的 骨干 网 络 ， 但 是 其 容量 已 经 进行 了 扩展 。 

随 独 Internet 逐渐 引起 世界 的 关注 ， 骨 王 网 变 得 越 来 越 低 效 ， 而 且 
不 容易 进行 进一步 的 扩展 。 在 20 世 纪 90 年 代 中 期 ， 出 现 了 另外 一 种 分 散 
的 系统 。 今 天 的 Internet 是 大 量 私 有 网 络 的 集合 ， 这 些 私 有 网 络 共享 或 出 
售 对 其 他 网 络 的 访问 权限 。 在 骨干 网 络 的 核心 是 一 级 网 络 (Tier 1 
Network) 。Verizon、Sprint、AT&T 以 及 Qwest 运营 的 都 是 一 级 网 络 。 
每 一 个 一 级 网 络 都 有 一 个 对 等 安排 (arrangement) ， 它 可 以 让 一 级 网 络 
的 流量 在 一 级 网 络 之 中 自由 传输 (从 理论 上 来 说 应 该 是 这 样 ， 但 是 两 个 
网 络 之 间 真 正 的 合约 安排 通常 不 一 定 能 够 被 第 三 方 网 络 知道 ， 原 因 是 大 
多 数 一 级 网 络 都 是 有 私营 公司 运营 的 ) 。 巨 大 的 一 级 网 络 幅 员 辽 阔 ， 为 
Intemet 提 供 了 全 球 的 连通 性 ， 但 是 一 级 网 络 只 是 Internet 次 图 的 一 部 
gs 

称 为 二 级 网 络 (Tier 2 Network) 的 系统 在 一 级 网 络 的 外 围 运行 。 二 
级 网 络 可 以 出 租 对 一 级 网 络 提供 商 的 访问 权限 ， 但 是 它 也 需要 与 其 他 二 
级 网 络 提 供 商 形成 对 等 关系 ， 以 形成 区 域 骨干 网 ， 并 为 下 游 的 客户 提供 
隐 余 的 传输 路 径 。 二 级 网 络 提供 商 之 间 的 流量 传输 是 免费 的 ， 它 通过 把 
对 Internet 的 访问 权限 租借 给 三 级 网 络 (Tier 3 Network ) 来 僵 利 。 

三 级 网 络 也 就 是 我 们 经 常 提 到 的 Intemet 服 务 提供 商 (ISP) 。 三 级 
网 络 从 上 游 提 供 商 (通常 是 二 级 网 络 ) 那里 购买 Internet 访问 权限 ， 然 
后 通过 将 该 权限 出 售 给 个 体 的 家 庭 和 企业 来 赚钱 。 三 级 网 络 ISP 将 入 网 
点 (Point Of Presense，POP ) 连接 ( 见 图 17.1) 租借 给 用 户 ， 从 而 让 用 
户 通过 他 们 的 线路 来 访问 Internet。 
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图 17.1 如 今 的 Intemet 是 由 公共 网 络 和 私有 网 络 组 合 而 成 的 多 层 系 统 


注意 : 电话 连接 

在 Pnternet 拓 扑 中 ， 像 Sprint 和 AT&T 这 样 的 电话 公司 是 主要 的 参与 
者 ， 这 并 不 奇怪 。 这 些 长 途 电话 运营 商 的 存在 凸显 了 这 样 一 个 事实 ， 即 
fishet 与 是 语系 次 二 样 ， 都 是 通过 将 远 距 离 分 布 的 大 量 电线 连接 起 来 构 








成 的 。 

横 跨 Internet 〈 以 及 一 些 ISP) 的 一 级 网 络 和 二 级 网 络 在 称 为 "Imternet 
交换 点 ”(IXP) 的 大 型 交换 设施 处 相交 。Verizon 的 MAE East 〈 在 华 盛 
顿 特 区 地 区 ) 和 MAE West《〈 在 加 利 福 尼 亚 州 圣何塞 地 区 ) 是 美国 最 繁 
忙 的 IXP 中 的 两 个 。IXP 是 大 型 设施 。 几 十 个 甚至 上 百 个 参与 网 络 可 以 
在 一 个 交换 点 处 相连 。IXP 并 不 提供 路 由 服务 。 相 反 ， 成 员 网络 在 IXP 
设施 处 提供 的 安全 控件 内 ， 提 供 和 维护 它们 自己 的 路 由 器 。IXP 设施 本 
身 是 一 个 本 地 网 络 ， 它 充当 成 员 网 络 之 间 的 接口 ， 在 IXP 设 施 内 跨 本 地 
Rm 0 
放 来 管理 。 

因此 ，Internet 由 几 千 个 交织 在 一 起 的 商业 布局 组 成 ， 其 中 包括 线 
路 、 链 路 终端 的 连接 、 带 宽 租 赁 ， 以 及 为 用 户 、 商 业 和 组 织 提供 服务 的 
数 千 家 ISP。 你 可 以 想象 为 什么 通常 将 Internet 摘 述 为 云 了 : 从 远 处 来 
看 ，Internet 看 起 来 像 一 个 单独 的 物体 ， 但 是 移 近 后 再 看 ， 你 将 永远 无 法 
真正 找到 其 中 心 ， 因 为 无 论 你 怎么 看 ， 它 就 在 你 周围 。 

Internet 是 一 个 单一 的 实体 ， 并 不 是 因为 它 的 物理 连通 性 ， 而 是 因 














> 它 有 一 组 通用 的 规则 ; 

> 它 由 一 群 公 共 的 组 织 机 构 来 进行 管理 和 维护 ; 

> 它 的 语言 是 统一 的 。 

在 第 1 章 中 我 们 知道 ， 管 理 Internet 的 组 织 包括 “Internet 咨 询 委 员 
会 ”(IAB) 和 “Intemet 工 程 任务 组 ”(IETF) 。Internet 的 语言 当然 就 是 
TCP/IP， 但 是 还 值得 强调 TCP/IP 基 础 结构 的 一 个 重要 元 素 ， 它 为 Internet 
提供 全 球 规模 的 消息 接 发 : ICANN 监 管 的 那个 公用 的 命名 和 编号 系统 。 
DNS 命名 系统 并 不 只 是 第 10 章 中 所 描述 的 名 称 解 析 协 议 。 全 球 规模 的 名 
称 服务 ， 需 要 巨大 的 人 力 ， 来 管理 那些 控制 Internet 名 称 有 序 分 配 的 低层 
级 组 织 。 如 果 没 有 强大 的 DNS 命名 系统 ，Internet 将 不 会 像 它 今天 那样 普 
遍 深入 人 们 的 日 常生 活 。 


17.2 Internet 上 发 2 


Intermet 其 实 就 是 一 个 大 型 的 TCP/IP 网 络 ， 而 且 ， 如 果 你 不 担心 安全 
性 或 时 间 延 迟 的 话 ， 就 可 以 利用 Internet 来 做 你 可 以 在 路 由 式 公 司 LAN 上 
完成 的 几乎 所 有 事 。 当 然 ， 那 些 安全 考虑 是 很 重要 的 。 你 绝对 不 应 该 使 
用 Internet 来 做 可 以 在 路 由 式 公 司 LAN 上 完成 的 任何 事 ， 但 是 如 果 你 非 要 
这 么 做 ， 确 实 也 是 可 以 的 。 

一 定 要 记 住 ， 所 有 参与 〈Internet 上 或 任何 其 他 网 络 上 ) 某 个 联网 活 














动 的 计算 机 ， 都 有 一 个 共同 它们 都 在 运行 着 为 它们 正 从 事 的 活动 而 
设计 的 软件 。 村主 (例如 第 2 章 到 第 7 章 
讲解 的 TCP/IP 软 件 ) ， 而 且 在 连接 的 两 端 要 为 相互 通信 而 设计 的 
专用 应 用 程序 。 如 图 17.2 所 示 ， ne 都 可 以 
被 分 类 为 客户 端 〈 请 求 服务 的 计算 机 ) 或 服务 器 《提供 服 务 的 计算 
机 ) 。 客 户 衬 由 计算 机 上 的 客户 出 应 用 程序 ， 是 专门 与 服务 右 计 算 机 上 的 
服务 器 应 用 程序 相交 互 的 ， 服务 器 应 用 程序 则 用 来 倾听 来 自 客户 端的 请 
求 ， 并 对 这 些 请 求 做 出 啊 应 。 





请 求 


响应 
图 17.2 在 Internet 上， 计算 机 通常 充当 客户 端 或 服务 器 


图 17.3 显 示 的 是 整个 群 组 生态 系统 。 坐 在 位 于 世界 上 任何 位 置 的 一 
台 计 算 机 前 的 用 户 ， 可 以 连接 到 世界 各 地 的 成 千 上 万 台 服 务 器 中 的 任何 
一 台 。 一 个 DNS 服务 器 分 级 系统 会 把 目标 域名 解析 为 一 个 卫 地 址 《该 过 
程 对 于 那 名 用 户 来 说 是 不 可 见 的 ) ， 然 后 该 用 户 计算 机 上 的 客户 端 软件 
建立 一 个 连接 。 所 连接 到 的 服务 器 ， 可 能 为 该 用 户 提 供 浏 览 和 查看 的 网 
页 、 即 时 通信 或 者 是 利用 FTP 下 载 的 文件 。 或 者 ， 该 用 户 有 可 能 正 连 接 
到 一 台 邮 件 服务 器 ， 以 下 载 新 邮件 。 
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© = 


图 17.3 Internet 是 一 个 从 地 球 上 任何 位 置 均 可 以 访问 的 浩瀚 的 服务 之 海 


刚 开 始 时 ， 只 有 几 台 互联 在 一 起 的 大 型 机 ， 现 在 Intemet 已 经 出 乎 
最 初 的 专家 和 研究 人 员 的 预期 ， 变 成 了 一 个 四 处 铺 散 的 服务 混合 体 。 除 
了 发 送 电 子 邮件 和 在 Web 上 冲浪 外 ， 新 一 代 Internet 用 户 可 以 拨打 电 
话 、 连 接 网 络 视频 、 看 电视 、 下 载 音 乐 、 收 听 播 客 (Podcast) 以 及 用 博 
客 (blog) 记录 下 他 们 最 深 的 感受 ， 所 有 这 一 切 均 通过 TCP/IP 的 神奇 功 
能 来 实现 。 在 后 面 的 章节 中 ， 你 将 学 到 更 多 有 关 新 型 Web 技 术 的 内 容 。 


17.3 URI 和 URL 


如 图 17.3 所 示 ，Internet 是 一 个 由 请 求 资源 的 客户 端 系 统 和 提供 资 
源 的 服务 器 系统 组 成 的 巨大 集团 。 可 是 ， 如 果 你 靠近 一 些 碍 看 该 过 程 ， 
就 会 认识 到 ， 本 书 前 面 讨论 过 的 协议 编 址 规则 ， 并 不 足以 支持 Internet 上 
可 以 使 用 的 极其 丰富 的 服务 。 卫 地 址 或 域名 可 以 定位 某 台 主机 ， 端 口号 
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可 以 指 同 该 主机 上 运行 的 某 个 服务 ， 但 是 ， 客 户 端 请 求 的 是 什么 ? 服务 
器 应 该 做 些 什么 ”有 没有 针对 客户 端正 在 请 求 输出 的 输入 ? 

专家 们 早已 认识 到 提供 一 种 请 求 Internet 资 源 的 标准 格式 的 重要 性 。 
有 些 专 家 已 经 指出 ， 实 际 上 ， 一 种 统一 请 求 格式 的 存在 ， 正 可 以 从 另 一 
个 方面 说 明 ， 为 什么 Internet 看 起 来 像 是 一 个 巨大 的 有 粘 聚 性 的 本 体 ， 
而 不 仅仅 是 一 堆 杂 乱 的 计算 机 。 

Internet 用 户 最 熟悉 的 请 求 格式 ， 就 是 统一 资源 定位 符 (Uniform 
Resource Locator，URL) 。URL 因 为 那 经 典 的 Web 地 址 格式 而 人 所 共 
知 : http://www.mercurial.org。URL 现 在 是 如 此 的 普及 ， 以 至 于 不 需要 
对 它们 进行 任何 解释 ， 就 出 现在 电视 广告 和 泡泡糖 包装 纸 上 。 所 请 
URL， 实 际 上 是 一 种 被 称 为 “统一 资源 标识 符 ”(Uniform Resource 
Identifier，URI) 的 更 一 般 格式 的 一 个 特例 。 这 两 个 首 字 母 缩 写 词 有 时 
可 以 交 蔡 使 用 ， 但 是 它们 的 差别 也 很 重要 。 最 近 的 Internet 文 档 已 经 设法 
会 聚 这 两 个 术语 。REFC 3986“Uniform Resource Identifier Generic 
Syntax” 声 明 ， 末 来 的 文档 应 该 使 用 URI 这 个 更 通用 的 术语 来 代 蔡 URL。 
通常 情况 下 ，“ 标 识 符 ”这 个 术语 要 比 “ 定 位 符 ” 好 ， 因 为 每 一 个 请 求 并 不 
实际 指 问 某 个 位 置 。 

有 关 URI 结 构 的 详细 说 明 超 过 60 页 ， 但 是 其 基本 格式 如 下 所 示 : 

scheme://authority/path?query#fragment 

这 里 的 scheme 标 识 用 来 解释 相应 请 求 的 系统 。 这 个 scheme 字 上段 通常 
与 某 种 协议 相关 。 表 17.1 显 示 的 是 当前 Internet 上 使 用 的 一 些 模 式 。 经 典 
的 http 模 式 与 Web 地 址 一 同 使 用 。 尺 管 像 gopher 这 样 的 可 选 模式 没有 它 
们 曾经 那么 重要 了 ， 但 其 他 的 《例如 ftp〉 模式 仍 在 普遍 使 用 。 


表 17.1URI 模 式 









































模 式 描 参 考 
file 主机 系统 上 的 一 个 文件 RFC 1738 
ftp 文件 传输 协议 RFC 1738 
gopher Gopher 协议 RFC 4266 
http 超 文本 传输 协议 RFC 2616 
https 安全 超 文 本 传输 协议 RFC 2818 
im 即时 通信 RFC 3860 
ldap 轻 量 级 目录 访问 协议 RFC 4516 
mailto 电子 邮件 地 址 RFC 2368 
nfs 网 络 文 件 系 统 协议 RFC 2224 
pop 邮局 协议 v3 RFC2 384 
telnet Telnet 交互 会 话 RFC4 248 





这 里 的 authority 以 一 个 双 斜 线 (/) 开头 ， 定 义 与 相应 请 求 相关 的 
用 户 、 主 机 和 端口 。 这 个 authority 组 件 的 完整 表达 可 能 看 起 来 像 : 

//joeyesterday 8042 

在 第 6 草 讲 到 ， 通 常会 有 一 个 默认 的 端口 号 与 相应 的 协议 相关 ， 
此 该 端口 号 常 第 被 省 略 。 用 户 名 只 在 用 户 必须 提供 证 书 才能 访问 相应 的 
资源 时 (这 对 于 Web 来 说 很 罕见 ， 但 是 对 于 类 似 FTP 的 协议 来 说 很 党 
见 ) 是 必需 的 。 

注意 : 登录 

即使 用 户 被 要 求 提 供 证 书 ， 你 仍 可 能 不 需要 在 URI 中 指定 用 户 。 
许多 服务 在 初始 请 求 之 后 ， 会 提示 用 户 输入 用 户 ID 和 密码 。 

没有 用 户 和 端口 ， 这 个 authority 字 段 看 起 来 更 像 是 我 们 都 理解 的 基 
本 的 Web 地 址 : 

//www.bonzai.com 

或 者 加 上 scheme 组 件 : 

http://www.bonzai.com 

在 这 个 示例 中 ， 主 机 被 表示 为 一 个 DNS 域名 ， 但 是 您 也 可 以 通过 主 
机 IP 地 址 来 引用 它 。 

这 里 的 path 组 件 穿 过 一 个 目录 结构 ， 一 直到 相应 请 求 的 主体 文件 。 
在 http 情 况 下 ， 如 果 这 个 path 被 省 略 ， 那 么 请 求 将 指向 相应 域 的 一 个 默 
认 网 页 (主页 )。Web 页 面 的 默认 文件 名 通常 是 index.html。 绝 大 多 数 用 
户 现 在 已 熟悉 在 域名 之 后 输入 额外 目录 和 文件 名 的 需要 : 

http:/www.bonzai.com/trees/LittleTrees.pdf 

URI 的 query 和 fragment 组 件 很 少 由 人 来 输入 或 解释 。 这 两 个 组 件 
的 精确 含义 可 以 随 scheme 而 变化 ， 而 且 有 些 scheme 甚 至 不 文 持 query 和 














fragment 组 件 。 在 目 然 环境 下 观察 这 个 query 字 段 的 最 容易 的 方法 是 ， 在 
0 
JURI。 

前 面 那 个 示例 在 万 维 网 上 使 用 的 、 非 第 流行 的 HTTP 协 议 环境 中 考 
碟 了 URI。 可 是 请 记 住 ， 每 一 个 不 同 的 模式 规范 都 可 以 定义 如 何 解释 
URI 中 的 信息 。URI 的 通用 规范 有 意 与 每 一 种 模式 规范 中 定义 的 细节 相 
分 离 ， 从 而 使 得 那些 模式 不 需要 更 改 基本 格式 即 可 有 所 发 展 。 表 17.1 还 
列 出 了 与 每 一 种 模式 相关 的 RFC。 


17.4 小 结 


Internet 由 世界 各 处 请 求 和 提供 服务 的 计算 机 组 成 。 组 成 Internet 的 
网 络 分 为 3 中 基本 的 类 别 : 一 级 网 络 与 一 级 网 络 之 间 存 在 的 是 可 以 目 由 
传输 流量 的 对 等 关系 ; 二 级 网 络 之 间 也 存在 对 等 的 关系 ， 但 是 需要 问 一 
级 网 络 购买 IP 传 输 安排 (arrangement); 三 级 网 络 ( 比 如 典型 的 本 地 
ISP) 从 其 上 游 提 供 商 处 购买 Internet 连 通 性 ， 然 后 再 将 Internet 访 问 权限 
出 售 给 商业 用 户 和 个 人 用 户 。 

URI 格 式 为 标识 和 定位 那些 资源 提供 了 一 种 标准 方法 。 不 过 ， 所 有 
这 些 协 议 均 不 同 ， 而 且 通 信 的 细节 随 服务 而 变 。 本 书后 面 的 章节 会 讲解 
一 些 如 今 运 行 在 Internet 上 的 关键 服务 。 


17.5 问 与 答 


问 : 为 什么 Internet 当 局 想 取代 常见 的 术语 URL 呢 ? 

答 : 统一 资源 定位 符 URL) 是 通用 术语 “统一 资源 识别 符 
CURI) ”的 一 个 特例 。 专 家 只 所 以 更 喜欢 通用 术语 URI， 是 因为 识别 符 
Cidentifier) 有 时 并 不 说 明 一 个 位 置 ， 而 是 可 能 会 包含 额外 的 信息 。 

问 : 为 什么 有 一 些 亚 洲 和 东欧 国家 ， 提 出 针对 DNS 和 URI 格 式 ， 
启动 它们 自己 的 独立 方案 ? 

答 : 对 于 使 用 非 拉 丁字 符 语言 交谈 的 用 户 来 说 ， 拉 丁字 符 集 的 约束 
因素 会 使 其 丧失 直觉 。 


17.6 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 则 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 则 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问 题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 











17.6.1 问题 

1. 一 级 网 络 和 二 级 网 络 之 间 的 区 别 是 什么 ? 

2. scheme 在 URI 中 的 作用 是 什么 ? 

3. scheme 位 于 URI 的 哪个 位 置 ? 

4. Internet 中 常用 的 4 个 scheme 是 什么 ? 

5. 在 URI 的 目的 目录 中 ， 如 果 有 删除 了 文件 名 ， 则 大 多 数 Web 服 务 右 
在 默认 情况 下 会 发 送 什么 文件 ? 

17.6.2 练习 


1. 在 Google 或 Bing 中 输入 一 个 搜索 条 目 ， 然 后 来 研究 返回 的 
URI。 主 流 的 搜索 引擎 通常 会 返回 一 个 显 式 的 结果 ， 因 此 你 应 该 很 容易 
就 可 以 发 现 一 个 完全 聚合 的 搜索 URI。 试 着 将 单词 拼 错 ， 然 后 单 击 “Did 
you mean” 链 接 。 当 你 发 现 一 个 搜索 URI 时 ， 请 确定 其 scheme、path 和 查 
询 部 分 。 

2. 如 果 有 这 样 一 个 Web 站 点 或 FTP 站点， 通常 只 要 求 你 在 对 话 
框 中 输入 你 的 证 书 ， 然 后 就 可 以 登录 进去 。 现 在 请 将 你 的 用 户 名 添加 到 
0 看 能 否 登 录 成 功 〈 取 决 于 服务 器 的 配置 ， 该 操作 可 能 不 一 定 成 
功 ) 。 


17.7 关键 术语 


复习 下 列 关 键 术语 : 

> Authority: URI 的 一 部 分 ， 标 识 主 机 、 用 户 和 端口 。 

> Internet 交 换 点 (IXP) : 提供 Internet 访 问 的 一 种 设施 。 

> 对 等 (peering) : 在 一 对 Internet 提 供 商 网 络 之 间 的 一 种 自由 传 
输 布局 。 参 与 网 络 同意 在 连接 之 中 免费 共享 流量 。 

> 入 网 点 (POP) : ISP 出 租 的 连同 Intemet 的 附着 点 。 

> 模式 (scheme) : URI 的 一 部 分 ， 标 识 用 来 解释 URI 其 余部 分 的 
协议 或 系统 。 

> 一 级 网 络 : 位 于 Internet 中 心 的 几 个 大 型 网 络 之 一 ， 它 参与 到 相 
互 对 等 布局 的 系统 中 。 

> 二 级 网 络 : Internet 基 础 设置 之 中 的 一 个 中 间 级 网 络 ， 它 可 能 将 
从 其 他 网 络 处 购买 到 的 Pnternet 访 问 权 限 出 售 给 另外 的 网 络 ， 并 且 与 其 他 
二 级 网 络 形成 对 等 关系 。 

> 三 级 网 络 : 将 Internet 访 问 权 出 售 给 商业 用 户 和 终端 用 户 的 零售 
级 别 的 Intermnet 网 络 ， 它 是 从 其 上 有 提供 商 处 (通常 是 二 级 网 络 ) 购买 的 
Internet 访问 权限 。 许 多 本 地 的 ISP 就 是 三 级 网 络 。 











> 统一 资源 标识 符 〈URI) : 用 来 标识 Internet 资 源 的 一 种 字母 数 
字 字 符 串 。 

> 统一 资源 定位 符 CURL) : 一 种 定位 资源 的 URI。Web 地 址 
(www.sams.com) 是 一 种 第 见 的 UREL 形 式 。 





第 18 音 HTTP、HTMEL 和 万 维 


本 章 介 绍 如 下 内 容 : 
> HIML; 
> HTTP; 


> Web 浏 览 器 。 

万 维 网 开始 时 是 Internet 的 一 种 通用 图 形 显 示 框 架 。 从 其 一 开始 ， 
Web 束 一 直 支 配 着 公众 对 Internet 的 感知 ， 而 且 它 已 经 根本 改变 了 我 们 
考虑 应 用 程序 界面 的 方式 。 本 章 将 介绍 HTTP、HTML 和 Web。 

学 完 本 章 后 ， 你 可 以 : 

> 演示 万 维 网 是 如 何 工作 的 ; 

> 使 用 文本 和 HTML 标 记 ， 构 建 一 个 基本 的 网 页 ; 

> 讨论 HTTP 协 议 ， 并 描述 它 是 如 何 工作 的 。 


18.1 什么 是 万 维 














你 通过 Web 浏 览 器 窗口 看 到 的 网 页 视图 ， 是 该 浏览 器 与 菜 台 Web 服 
务 右 计算 机 之 间 会 话 的 结果 。 用 于 那 种 会 话 的 语言 被 称 为 超 文 本 传输 协 
议 (HTTP)〉。 从 服务 器 交付 给 客户 问 的 数据 ， 是 一 种 制作 精巧 的 文 
本 、 图 像 、 地 址 和 格式 代码 混合 体 ， 通 过 一 种 奇妙 的 通用 格式 化 语言 
超 文 本 标记 语言 (HTML ) ， 呈 递 给 统一 标准 的 文档 。 
我 们 当前 知道 的 万 维 网 的 基本 要 素 ， 是 Tim Berners-Lee 于 1989 年 在 
瑞士 日 内 瓦 CERN 研 究 所 创建 的 。Berners-Lee 通 过 汇聚 当时 已 经 在 研发 
的 3 种 技术 ， 创 建 了 一 种 精巧 且 功 能 强大 的 信息 系统 。 
> 标记 语言 : 一 种 能 入 在 文本 中 的 指令 和 格式 化 代码 系统 。 
> 超 文本 : 一 种 将 链接 舱 入 文档 、 图 像 和 其 他 文本 中 元 素 的 方 





0 
> Internet: 《正如 现在 知道 的 那样 ) 一 种 全 球 性 的 计算 机 网 络 ， 
通过 TCP/IP， 客 户 端 请 求 服务 ， 服 务 器 提供 服务 。 
作为 问 早 期 计算 机 使 用 的 简单 文本 添加 格式 化 和 排版 代码 的 一 种 方 
法 ， 标 记 语 言 始 于 20 世 纪 60 年 代 。 在 那 时 ， 整 个 计算 世界 里 ， 配 置 文 





件 、 在 线 帮 助 文档 和 电子 邮件 消息 均 使 用 文本 文件 。 在 人 们 开始 使 用 计 
算 机 编写 信函 、 备 坪 录 和 其 他 精美 文档 之 时 ， 他 们 需要 一 种 方法 来 指定 
像 标 题 行 、 和 斜体 字 、 粗 体 字 和 页 边 距 这 样 的 要 素 。 一 些 早 期 的 标记 语言 
(比如 现在 还 在 使 用 的 TeX〉 是 作为 瞧 科 学 家 们 格式 化 和 排版 数学 公式 
的 方法 而 开发 的 。 

到 现代 字 处 理 程序 开始 出 现时 ， 上 广 商 们 已 经 开发 了 大 量 系统 〈 其 中 
很 多 是 专 有 的 ) ， 用 于 将 格式 化 信息 编码 进 文本 文档 。 其 中 一 些 系统 使 
用 基于 ASCII 的 代码 。 有 综 则 使 用 不 同 的 数字 标记 得 来 表示 格式 化 信 


注意 : 兼容 性 

当然 ， 只 有 编写 文档 的 应 用 程序 和 读 取 文档 的 应 用 程序 惑 每 一 个 代 
码 的 含义 达成 一 臻 时， 这 些 格式 化 代码 系统 才 会 起 作用 。 

Berners-Lee 和 其 他 HTML 先 驱 者 们 想 要 一 种 通用 的 、 独 立 于 厂商 的 
系统 ， 用 于 编码 格式 信息 。 他 们 希望 这 种 标记 系统 不 仪 包括 排版 代码 ， 
同时 包括 对 图 像 文 件 的 引用 和 指 癌 其 他 文档 的 链接 。 

超 文 本 的 概念 (文本 内 的 活 链 接 ， 用 于 将 视图 切换 至 该 链接 中 引用 
的 文档 ) 也 在 20 世纪 60 年 代 逐 渐 形 成 。Berners-Lee 通 过 开发 URL， 将 超 
文本 概念 市 至 Intemet。 链 接 使 得 阅读 者 能 够 轻松 地 查看 在 线 信息 。 阅 读 
者 可 以 选择 是 否 链接 至 另 一 个 页 面 查 看 更 多 信息 。HTML 文档 可 以 被 装 
配 进 统 一 标准 的 页 面 和 链接 系统 〈 见 图 18.1) 。 根 据 访 问 者 在 那些 链接 
中 来 回 罕 行 的 情况 ， 可 以 找到 一 条 不 同 的 路 径 来 穿 过 那些 数据 。 同 时 ， 
Web 开发 人 员 可 以 几乎 量 无 限制 地 定义 某 个 链接 将 指 同 的 位 置 。 该 链接 
可 以 指向 相同 目录 下 的 另 一 个 HTML 文 档 、 不 同 目 录 下 的 某 个 文档 、 力 
至 男 一 台 计 算 机 上 的 某 个 文档 。 这 里 的 链接 可 能 通 往 地 球 男 一 边 男 一 台 
计算 机 上 一 个 完全 不 同 的 网 站 。 




















图 18.1 网 站 是 一 个 统一 标准 的 页 面 和 链接 系统 


第 17 章 讲 到 ， 与 Web 最 相关 的 URL 形 式 是 

http://www.dobro.com 

而 且 还 经 常 可 以 看 到 ， 这 种 URL 附 加 有 某 个 路 径 和 文件 名 : 

http:/www.dobro.com/techniques/repair/fix.html 

Web 浏 览 器 通过 URL 进 行 导 航 。 用 户 通 过 在 浏览 器 窗口 的 地 址 栏 中 
输入 相应 页 面 的 URL 来 访问 网 页 〈 见 图 18.2) 。 单 击 茶 个 链接 ， 浏 览 咒 
就 会 打开 该 链接 URL 中 所 指定 的 网 页 。 
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下 面 总 结 一 下 这 个 简要 介绍 ， 一 个 基本 的 HTML 文档 包含 下 面 这 些 
元 素 : 

> 文本 ; 

> 图 形 ; 

文本 格式 化 代码 〈 字 体 和 布局 信息 ) ; 

> 对 像 图 形 文件 这 样 的 辅助 文件 的 引用 ; 

> 指 回 其 他 HTML 文 档 或 当前 文档 中 其 他 位 置 的 链接 。 

为 了 访问 某 个 网 站 ， 用 户 在 Web 浏览 器 窗口 中 输入 该 网 站 的 
URL。 浏 览 器 发 起 一 个 到 此 URL 中 所 指定 Web 服务 器 的 连接 。 该 服务 器 
越过 网 络 向 Web 浏 览 器 发 送 HTML 数 据 。Web 浏 览 器 解释 所 收 到 的 
HTML 数 据 ， 创 建 在 浏览 器 窗口 中 显示 的 网 页 视图 。 


18.2 理解 HTML 
HTML 是 通过 HTTP 进 程 传输 的 负荷 。HTML 文 档 包 括 文本 、 格 式 化 











代码 、 对 其 他 文件 的 引用 和 链接 。 在 使 用 某 个 文本 处 理应 用 程序 〈 例 如 
Windows 系统 记事 本 或 UNIX 系统 的 vi) 查看 基本 HTML 文 档 的 内 容 
时 ， 你 会 发 现 该 文档 实际 上 就 是 一 个 普通 的 文本 文件 。 这 个 文件 包含 所 
有 将 会 随 相 应 的 页 面 显示 的 文本 ， 而 且 它 还 包括 许多 称 为 标记 (tag) 
的 专用 HTML 人 代码。 标记 是 针对 浏览 器 的 指令 ， 它 们 并 不 像 编 写 的 那样 
在 网 页 上 显示 ， 但 是 它们 会 影响 数据 显示 的 方式 和 页 面 表现 的 方式 。 
HTML 标 记 提 供与 某 个 网 页 相关 的 所 有 格式 化 、 文 件 引 用 和 链接 。 一 些 
重要 的 HTML 标 记 如 表 18.1 所 示 。 


表 18.1 一 些 重要 的 HTML 标 记 











标 记 描 述 
<HTML> 标记 文件 中 HTML 内 容 的 开始 与 结束 
<HEAD> 标记 标题 部 分 的 开始 与 结束 
<BODY> 标记 主体 部 分 的 开始 与 结束 ， 该 部 分 描述 将 会 在 浏览 器 窗口 中 显示 的 文本 





<HI>、<H2> 、<H3>、 


<H4> Hs 和 <H6> ”| 标记 某 个 标题 的 开始 与 结束 。 每 个 标题 标记 代表 一 个 不 同 的 标题 等 级 。<H1> 是 最 高 的 等 级 














<B> 标记 粗 体 字 文 本 部 分 的 开始 与 结束 

<U> 标记 下 划 线 文本 部 分 的 开始 与 结束 

<I> 标记 和 斜体 字 文 本 部 分 的 开始 与 结束 

<FONT> 标记 特定 字体 特征 部 分 的 开始 与 结束 。 一 些 可 用 的 字体 属性 ， 见 表 18.2 

a 定义 一 个 锚 ， 通 常用 来 标记 某 个 链接 。 该 链接 的 目的 URL 显示 在 第 一 个 <A> 标 记 中 ， 作 为 HREF 
属性 的 值 

<IMG> 指定 应 该 在 文本 中 出 现 的 图 像 文 件 。 该 文件 URL 出 现在 这 个 标记 中 ， 作 为 SRC 属性 的 值 








当然 ，HTML 标 记 还 有 很 多 ， 一 张 表格 根本 不 够 用 。 许 多 标记 会 应 
用 到 某 个 文本 块 。 在 那 种 情况 下 ， 标 记 出 现在 文本 块 的 开始 与 结束 处 。 
文本 块 结尾 处 的 标记 包括 斜 线 字 符 〈/) ， 以 表示 它 是 结束 标记 。 换 名 
话说 ， 一 个 H1 标 题 的 标注 会 像 下 面 那样 放置 标记 : 

<H1>Dewey Defeats Truman</H1> 

HTML 文 档 应 该 以 一 个 <IDOCTYPE> 声 明 开 始 。 这 个 !DOCTYPE 定 
、 前 文档 所 使 用 的 HTML 版 本 。 对 于 HTML 4.0， 相 应 的 !IDOCTYPE 命 
/AY: 

<IDOCTYPE HTML PUBLIC "-/W3C/DTD HTML 4.0/EN"> 

(使 用 特定 浏览 颖 扩展 的 网 页 可 能 会 指定 一 个 不 同 的 文档 类 型 ) 

大 多 数 浏览 器 并 不 要 求 上 述 !IDOCTYPE 语句 ， 而 且 许 多 HTML 手 
册 甚 至 都 不 讨论 !IDO CTYPE。 

在 此 !DOCTYPE 语 名 之 后 是 <HTML> 标 记 。 文 档 的 其 余部 分 都 封装 








在 这 个 <HTML> 标 记 和 当前 文件 最 后 一 个 对 应 的 </HTML> 标 记 之 间 。 在 
这 起 始 和 结束 <HTML> 标 记 之 内 ， 文 档 被 分 为 以 下 两 个 部 分 。 

> 文档 报头 (封装 在 <HEAD> 和 </HEAD> 标 记 之 间 ) 包含 有 关 当 
前 文档 的 信息 。 虽 然 ， 其 中 的 <TITLE> 标 记 会 指定 一 个 将 出 现在 浏览 器 
窗口 标题 栏 中 的 标题 ， 但 是 文档 报头 中 的 信息 并 不 会 出 现在 网 页 上 。 这 
里 的 <TITLE> 是 一 个 必需 的 要 素 。<HEAD> 部 分 的 其 他 要 素 都 是 可 选 
的 ， 比 如 用 于 指定 有 关 文 档 样式 信息 的 <STYLE> 标 记 。 要 想 更 多 了 解 
<STYLE>， 请 查看 某 个 HTML 文 本 。 

文档 主体 〈 封 装 在 <BODY> 和 </BODY> 标 记 之 间 ) 是 会 实际 出 
现在 网 页 上 的 文本 ， 以 及 与 该 文本 相关 的 所 有 HTML 标 记 。 

一 个 简单 的 HTML 文 档 大 致 如 下 所 示 : 

<IDOCTYPE HTML PUBLIC "-/W3C/DTD HTML 4.0/EN"> 

<HTML> 

<HEAD> 

<TITLE> Ooh This is Easy </TITLE> 

</HEAD> 

<BODY> 

Easy! 

</BODY> 

<HTML> 

如 果 你 把 上 面 这 段 HTML 保存 为 一 个 文本 文件 ， 然 后 用 Web 浏览 
器 打开 那个 文件 ,，“Easy! 就 会 出 现在 相应 的 浏览 器 窗口 中 《根据 所 用 浏 
览 器 和 操作 系统 的 不 同 ， 你 可 能 需要 使 用 .htm 或 .html 扩 展 名 来 保存 这 个 
文件 ， 或 者 是 把 它 当 作 一 个 HTML 文件 来 打开 ) 。 浏 览 器 标题 栏 将 包 
含 “Ooh This is Easy” 标 题 〈 见 图 18.3) 。 
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»] 到 My Comeuer 
图 18.3 一 个 非常 简单 的 网 页 示例 


你 可 以 在 文档 主体 部 分 中 ， 添 加 一 些 文本 和 格式 化 ， 使 这 个 页 面 活 
路 起来。 下 和 面 这 个 示例 添加 了 用 于 标题 的 <H1> 和 <H2> 标 记 、 用 于 上 段落 
的 <P> 标 记 、 用 于 粗 体 的 <B> 标 记 、 用 于 斜体 的 <I> 标 记 和 用 于 字体 信息 
的 <FONT> 标 记 。 注 意 ， 这 里 的 <FONT> 标 记 包 括 一 个 属性 。 属 性 是 封 
Ee 

不 。 

<!DOCTYPE HIML PUBLIC "-/W3C/DTD HIML 4.0/EN"> 

<HTML> 

<HEAD> 

<TITLE> Ooh This is Easy </TITLE> 

</HEAD> 

<BODY> 

<H1>The Easy and Hard of HTML</H1> 

<P><U>Websters Dictionary</U> defines HIML as <I>"a small snail 
found originally in the Canary IsIand and ranging how to the Archipelago of 








Parakeets." </I> I borrow from this theme in my consideration of HTML as a 
</P><H2>HTML is Easy</H2> 

<P>HTML is easy to learn and use because everyone reacts to 让 
energetically. You can walk into a bar and start speaking HTML, and the man 
beside You will <B>happily</B> tell You his many accomplishments.</P> 

<H2>HTML is Hard</H2> 

<P>HTML is hard because the options are bewildering. You never know 
when to use <FONT SIZE=1>small text</FONT> and when to use <FONT 
SIZE=7>big text</FONT>.</P> 

</BODY> 

</HTML> 

上 述 示例 在 浏览 器 中 的 显示 如 图 18.4 所 示 。 
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Webster’s Dicbonary defines HTML as “a small sma found originally in the Canary islands and ranging now to the 
Archipelago of Parakeets" I borrow from this theme m my considerabon of HTML as a language that is both easy and hard 


HTML is Easy 


HTML 1s easy to leam and use because everyone reacts to ts energebcally 了 ou can wall mto a bar and start spealung HTML, 
and the man beside you wl happily tcl you has many accomphshments 


HTML is Hard 


HTML is hard becavse the options are bewildermng Younever know when to Use amdlioa and When to Use b l95 


text 


$e] 到 My Compuler 
图 18.4 对 前 面 的 简单 示例 进行 扩展 


表 18.2 HTML <FONT> 标 记 属 性 


属 性 描 述 
SIZE | 相对 字体 大 小 设置 。 值 从 1 到 7: <FONT SIZE=7> 
LANG 标志 文本 编写 所 用 语言 的 语言 代码 
FACE ] 字体 设置 <FONT FACE="Arial”> 

















COLOR 文本 颜色 : <FONT COLOR="RED”> 








正如 你 在 本 章 前 面 所 学 到 的 那样 ， 超 文本 链接 是 Web 设 计 的 一 个 重 
要 元 素 。 一 个 链接 就 是 对 另 一 个 文档 或 者 是 当前 文档 的 另 一 部 分 的 引 
用 。 如 果 用 户 单 击 相应 链接 的 突出 显示 文本 ， 当 前 浏览 器 就 会 立即 打开 
该 链接 所 引用 的 文档 。 最 终 的 效果 就 是 ， 用 户 看 上 去 就 像 是 轻快 地 罕 行 
在 一 个 丰富 多 彩 的 无 尽 的 花园 里 。 

注意 : 什么 是 浏览 器 ? 

当 你 在 这 个 多 彩 的 花园 里 轻快 地 穿行 时 ， 可 以 偶尔 停 下 来 ， 把 浏览 
人 


HTML 文 件 中 的 链接 以 标记 形式 出 现 。 链 接 的 最 简单 形式 使 用 <A> 
标记 ， 以 及 链接 目的 地 的 UREL 作 为 HREF 属 性 的 值 。 例 如 ， 在 前 面 那个 
示例 中 ， 如 果 你 愿意 将 “Archipelago of Parakeets” 这 些 单词 显示 为 超 文 
本 ， 从 而 有 一 个 链接 指 同 一 个 介绍 有 关 该 群岛 信息 的 网 站 ， 请 把 这 些 单 
词 封装 进 <A> 标 记 ， 如 下 所 示 : 

ranging now to the <A 
HREF="http://www.ArchipelagoParakeets.com"> Archipelago of 
Parakeets</A>. I borrow from this theme 

通用 的 HTML 格 式 包 括 许 多 附加 的 选项 。 你 可 以 在 一 张 图 片 内 放置 
一 个 热 区 链接 ， 还 可 以 针对 预先 格式 化 好 的 段落 样式 ， 使 用 特殊 的 标 
记 ， 创 建 你 自己 的 样式 表 。 你 可 以 使 用 表格 、 分 栏 、 表 单 和 框架 来 组 织 
网 页 ， 还 可 以 添加 单 选 按钮 、 复 选 枉 和 下 拉 菜 单 。 在 HIML 早 期 ， 设 计 
人 员 使 用 文本 编辑 器 ， 直 接 在 其 文档 中 编码 所 有 HIML 〈 惑 像 前 面 那 几 
个 示例 一 样 ) 。 专 业 的 Web 设计 人 员 现 在 使 用 专用 的 Web 开发 程序 进 
行 工 作 ， 比 如 Adobe 公司 的 Dreamweaver 或 者 是 Microsoft 公 司 的 
FrontPage， 它 们 可 以 隐藏 HTMEL 的 细节 ， 从 而 使 得 设计 人 员 能 够 像 页 面 
将 会 呈现 给 用 户 的 那样 来 查看 它 。 诸 如 维基 和 “内 容 管理 系统 ”(CMS ) 
之 类 的 新 工具 ， 为 坚 不 费 力 的 web 设计 提供 了 额外 的 选项 。 

预先 成 型 的 静态 HTML 文 档 仍 在 广泛 使 用 ， 但 是 许多 网 站 现在 使 用 
动态 HTML 技 术 ， 在 被 请 求 时 再 生成 相应 的 Web 内 容 。 

注意 : 大 写字 母 

对 于 传统 的 HTML 标 记 ， 大 写字 母 是 没有 什么 区 别 的 ; 不 过 ， 后 来 
的 标准 (比如 XML 和 XHTML)〉 对 大 写字 母 给 予 了 更 多 关注 。XML 区 分 





























大 小 写 ， 而 XHTML 要 求 小 写 的 元 素 和 属性 名 称 。 
18.3 理解 HTTP 


正如 你 在 前 面 学 到 的 那样 ，Web 服务 器 和 浏览 器 使 用 超 文本 传输 协 
议 CHTTP) 进行 通信 。HTTP (1.1) 在 RFC 2616 中 就 有 描述 ， 而 以 后 的 
文档 扩展 了 HTTP 功 能 。HTTP 的 目的 是 支持 HTML 文 档 的 传输 。HTTP 
是 一 种 应 用 层 协 议 。HTTP 客 户 端 和 服务 器 应 用 程序 使 用 可 靠 的 TCP 传 
输 协 议 建立 连接 。 

HTTP 可 以 完成 以 下 工作 : 

> 在 浏览 器 (客户 端 ) 和 服务 器 之 间 建 立 一 个 连接 ; 

> 为 会 话 协商 设置 和 确定 参数 ; 

> 为 HTML 内 容 的 有 序 传输 作 准 备 ; 

> 关闭 与 上 述 服 务 器 的 连接 。 

尽管 Web 通 信 的 特性 已 经 变 得 极其 复杂 ， 绝 大 部 分 复杂 性 与 服务 右 
如 何 构 建 HTML 内 容 和 浏览 器 如 何 处 理 它 所 接收 到 的 内 容 相 关 。 通 过 
HTML 传 输 内 容 的 实际 过 程 ， 相 对 来 说 ， 还 是 整齐 有 序 的 。 

当 你 在 浏览 器 窗口 中 输入 一 个 URL 时 ， 浏 览 器 首先 检查 那个 URL 的 
描述 ， 以 确定 相应 的 协议 (除了 HTTP 之 外 ， 绝 大 多 数 Web 浏 览 器 还 支 
持 其 他 协议 ) 。 如 果 浏 览 器 确定 该 URL 引 用 某 个 HTTP 站 点 上 的 资源 ， 
那么 它 就 会 从 那个 URL 提 取 相 应 的 DNS 名 称 ， 并 启动 名 称 解 析 进 程 。 客 
户 端 计算 机 向 一 个 名 称 服务 器 发 送 DNS 查 找 请 求 ， 并 接收 该 服务 器 的 IP 
地 址 。 浏 览 器 然后 利用 该 服务 器 的 IP 地 址 ， 启 动 一 个 与 此 服务 器 的 TCP 
连接 (有关 TCP 的 更 多 内 容 ， 请 见 第 6 间 )。 

注意 : 持久 性 

在 比较 早 的 HTTP 版 本 中 “(1.1 版 之 前 〉， 客 户 端 和 服务 器 为 传输 的 
每 一 项 ， 打 开 一 个 新 的 TCP 连 接 。HTTP 的 近期 版 本 允许 客户 端 和 服务 
器 维持 一 个 持久 连接 。 

在 上 述 TCP 连 接 建立 之 后 ， 浏 览 器 将 使 用 HTTP GET 命 令 ， 回 该 服 
务 器 请 求 相 应 的 网 页 。 这 个 GET 命 令 包 含 浏览 器 正在 请 求 的 资源 URL， 
以 及 浏览 器 想 要 为 此 事务 使 用 的 HTTP 版 本 。 在 绝 大 多 数 情况 下 ， 浏 览 
器 可 以 随 此 GET 请 求 发 送 相 对 URL (而 不 是 整个 URL) ， 因 为 与 相应 服 
务 器 的 连接 已 经 建立 好 了 : 

GET /watergate/tapes/transcript HTTP/1.1 

在 这 个 GET 命 令 之 后 ， 可 能 会 跟着 几 对 其 他 可 选 的 field:value， 指 
定 像 语言 、 浏 览 器 类 型 和 可 接受 的 文件 类 型 之 类 的 设置 。 

服务 器 响应 包括 一 个 报头 ， 后 门 跟 着 所 请 求 的 文档 。 响 应 报头 的 格 








式 如 下 所 示 : 

HTTP/1.1 status_code reason-phrase 

field:value 

field:value... 

这 里 的 状态 代码 ， 是 一 个 描述 请 求 状态 的 三 位 数 。 这 里 的 reason- 
phrase (原因 分 析 〉 是 对 该 状态 的 一 个 简要 描述 。 一 些 和 常见 的 状态 代码 
如 表 18.3 所 示 。 可 以 看 到 ， 该 代码 最 左边 的 那 位 标识 一 种 通用 分 类 。 访 
位 为 1， 表 示 提 供 信息 ; 该 位 为 2， 表 示 成 功 ;， 该 位 为 3， 表 示 重 定向 ; 
该 位 为 4， 表 示 一 个 客户 端 错误 ;该 位 为 5， 表 示 一 个 服务 器 错误 。 你 可 
能 很 熟悉 那个 著名 的 404 代 码 ， 它 经 常 在 找 不 到 页 面 或 URL 输 入 错误 时 
出 现 。 与 客户 端 请 求 类 似 ， 服 务 器 啊 应 也 可 以 包括 许多 可 选 的 
field:value 对 。 其 中 一 些 报头 字段 如 表 18.4 所 示 。 浏 览 器 不 能 理解 的 任何 
字段 都 将 被 忽略 。 


表 18.3 一 些 常 见 的 HTTP 状 态 码 








代 码 Reason-Phrase 描 述 
100 Continue 请 求 正 在 进行 中 
200 OK 请 求 成 功 
202 Accepted 请 求 已 被 接受 且 正 在 处 理 中 ， 但 尚未 完成 
301 Moving Permanently 资源 有 个 新 地 址 

续 表 

302 资源 有 个 新 的 临时 地 址 
400 服务 器 不 认可 这 个 请 求 
404 所 请 求 的 资源 不 存在 
406 Not Acceptable 内 容 将 不 被 浏览 器 所 接受 
500 Internal Server Error 服务 器 遭遇 错误 
503 服务 器 过 载 或 不 在 工作 


表 18.4 HTTP 报头 字段 示例 

















字 段 值 必须 是 描 述 
Content-Length 整数 内 容 对 象 以 八 位 字 节 为 单位 的 大 小 
Content-Encoding x-compress、x-gzip 表示 与 当前 消息 相关 的 编码 类 型 的 值 
Date RFC 850 中 定义 的 标准 日 期 格式 当前 对 象 创建 时 的 格林 尼 治 标准 时 间 
Last-modified date RFC 850 中 定义 的 标准 日 期 格式 当前 对 象 最 后 一 次 修改 时 的 格林 尼 治 标准 时 间 
Content-Language 依照 ISO 3316 的 语言 代码 编写 当前 对 象 的 语言 


从 表 18.4 中 可 以 看 到 ， 有 些 报头 字段 是 纯粹 的 信息 ， 而 有 些 报 头 字 
段 则 可 能 包含 用 来 分 析 和 处 理 传 入 HIMEL 文 档 的 信息 。 

这 里 的 Content-Lengh 字 段 特别 重要 。 在 早期 的 HTTP 1.0 版 本 中 ， 
每 一 个 请 求 / 啊 应 周期 都 需要 一 个 新 的 TCP 连 接 。 客 户 问 打开 一 个 连接 ， 
并 发 起 一 个 请 求 。 服 务 器 实现 该 请 求 ， 然 后 关闭 该 连接 。 在 那 种 情况 
下 ， 客 户 端 知道 服务 器 何 时 停止 发 送 数 据 ， 因 为 该 服务 器 关闭 了 相应 的 
TCP 连 接 。 不 邓 的 是 ， 这 个 过 程 需要 不 断 地 打开 和 关闭 连接 ， 从 而 增加 
了 系统 开销 。HTTP 1.1 人 允许 客户 端 和 服务 器 在 一 次 传输 之 后 ， 继 续 维 持 
相应 的 连接 。 在 那 种 情况 下 ， 客 户 端 需要 以 某 种 方式 知道 一 个 啊 应 何 时 
结束 。 这 个 Content-Length 字 段 就 指定 与 当前 啊 应 相关 的 HTML 对象 的 长 
度 。 如 果 服 务 器 不 知道 它 正 发 送 的 对 象 的 长 度 〈 随 着 动态 HTML 的 出 
现 ， 这 种 情况 越 来 越 常 见 ) ， 服 务 器 发 送 报头 字段 Connection:close 来 通 
知 浏览 器 ， 服 务 嚣 将 通过 关闭 当前 连接 来 表示 数据 的 结束 。 

HTTP 还 支持 一 个 协商 阶段 ， 服 务 器 和 浏览 器 可 以 在 此 期 间 就 菜 些 
格式 和 首选 项 的 共同 设置 达成 共识 。 


18.4 脚本 


在 最 近 20 多 年 ， 网 页 的 发 展 格外 迅猛 ， 如 今 大 多 数 专 业 的 网 页 都 
己 经 与 本 章 前 面 描 述 的 “网 页 只 是 租 入 了 议 态 HTML 标 记 的 简 蛙 文本 文 
件 ”* 大 不 相同 。 

现代 的 网 页 通常 是 一 个 包含 对 象 、 脚 本 、 为 响应 数据 输入 而 由 机 器 
产生 的 代码 和 后 端 数据 的 复杂 集合 。 通 过 使 用 多 功能 的 HIML， 我 们 可 
以 在 页 面 传输 时 为 其 插入 数据 或 额外 的 指令 ， 也 可 以 添加 在 页 面 到 达 之 
后 再 运行 的 代码 。 

Web 浏 览 器 已 经 变 得 非常 善于 解释 和 操纵 这 些 传 入 的 代码 。 在 下 一 
章 将 学 到 ， 在 Web 服 务 器 上 运行 的 名 为 内 容 管 理 系统 的 专用 工具 ， 隐 藏 
0 0 


> 用 于 自动 生成 Web 代 码 的 两 种 基本 技术 是 服务 嚣 端 脚本 编程 和 








客户 端 脚本 编程 。 

在 本 章 后 面 将 会 讲 到 ， 在 客户 端 系统 上 运行 的 插件 和 附加 应 用 程 
序 ， 为 通过 网 页 来 触发 的 行为 添加 了 男 外 一 种 维度 。 有 关 高 级 Web 技 术 
的 更 多 细节 ， 请 见 第 19 章 。 

这 些 技 术 大 部 分 都 与 属于 编程 的 主题 。 终 端 用 户 没 有 必要 知道 租 入 
到 网 页 中 的 图 片 或 表格 是 来 自 于 静态 标注 还 是 来 自 于 脚本 。 但 是 ， 对 这 
些 概念 进行 简单 讲解 ， 可 以 让 用 户 理 解 HIML 是 如 何 应 用 在 如 今 的 
Internet 上 的 。 

18.4.1 号 3 有 千本 编程 

服务 器 端 脚本 编程 可 以 让 服务 器 接受 来 自 客 户 端的 输入 ， 并 在 幕后 
处 理 这 些 输入 。 一 个 常见 的 服务 器 端 脚 本 编程 的 场景 如 图 18.5 所 示 。 处 











理 过 程 如 下 所 示 。 
1. 用 户 浏 贤 到 一 个 页 面 ， 它 包含 一 张 用 来 购买 条 一 产品 或 输入 访 
问 者 信息 的 表单 。 


2. 服务 器 根据 用 户 选 择 生 成 该 表单 ， 并 将 其 传送 给 浏览 器 。 

3. 用 户 在 此 表单 中 输入 必要 的 信息 ， 然 后 浏览 右 将 该 表单 传 回 服 
务 句 《注意 ， 这 个 HIML 表 单 特 性 与 通常 的 过 程 相反 。 浏 览 器 在 服务 器 
请 求 时 ， 回 其 发 送 内 容 ) 。 

4. 服务 顺 接 受 来 自 浏览 器 的 数据 ， 并 使 用 一 个 编程 接口 ， 将 此 数 
据 传 递 给 处 理 用 户 信息 的 程序 。 如 果 用 户 正 在 购买 条 一 产品 ， 这 些 后 台 
程序 可 能 会 检查 信用 卡 信息 ， 或 者 是 发 送 一 个 出 货 单 给 邮件 室 。 如 果 用 
户 正在 同一 个 邮件 列表 添加 其 姓名 ， 或 者 是 加 入 一 个 受 限制 的 在 线 站 
扩 ， 那 么 可 能 会 有 一 个 程序 把 有 关 的 用 户 信 息 添加 到 一 个 数据 库 中 。 











图 18.5 服务 咒 端 脚本 编程 的 场景 


现在 ， 有 几 种 程序 设计 语言 和 环境 可 以 用 来 帮助 开发 人 员 构 建 基于 
服务 器 的 web 应 用 程序 。 一 种 将 程序 或 脚本 与 网 页 相连 接 的 方法 是 通 
过 “公共 网 关 接 口 ”(Common Gateway Interface，CGI) 。CGI 用 来 接受 
来 自 Web 用 户 的 表单 型 输入 ， 处 理 该 输入 ， 然 后 生成 HTML 格 式 的 输 
出 。CGI 脚 本 一 般 使 用 Pen 语言 编写 ， 但 是 CGI 能 兼容 其 他 语言 ， 其 中 包 
括 C 语 言 。 

作为 一 种 用 于 Web 开 发 的 语言 ，PHP 也 正 越 来 越 流行 。 一 个 简单 的 
PHP 脚 本 通常 会 供 入 在 一 个 HTML 标记 中 : 

<?php code here...?> 

或 者 使 用 <script language> 标 记 来 定义 : 

<script language=”*php”> code here...</Script> 

文 持 PHP 的 Web 服 务 咒 解析 和 执行 括号 之 间 的 代码 ， 并 且 在 页 面 发 
送 给 客户 并 时 ， 将 PHP 命 令 集 的 输出 插入 到 原来 标记 的 位 置 。 

Microsoft 的 活动 服务 器 页 面 (Active Server Page，ASP) 以 及 后 续 
的 ASP.NET 技 术 也 是 两 种 流行 的 服务 器 端 Web 技 术 。 在 最 近 几 年 ， 
ASP.NET 对 Web 开 发 具有 很 大 的 影响 力 。 但 是 ， 在 本 书 编写 之 时 ， 
HTML5 和 其 他 近期 出 现 的 技术 可 能 会 对 下 一 代 的 网 站 施加 更 大 的 影响 
力 。 第 19 章 更 为 详细 地 讨论 了 HTML5。 

针对 上 自 定 义 的 服务 器 端 应 用 程序 的 Web 接 口 的 概念 ， 己 经 产生 了 一 
种 称 之 为 Web 服 务 环境 的 编程 范式 。 许 多 主要 的 硬件 和 软件 厂商 ， 其 中 
包括 IBM、Microsoft 等 公司 ， 已 经 开发 了 先进 的 基础 设施 来 文 持 Web 
服务 编程 。 有 关 Web 服 务 技 术 和 技巧 的 更 多 细节 ， 请 见 第 20 章 。 

18.4.2 客户 端 脚 本 编程 

将 脚本 集成 到 Web 环 境 的 另外 一 种 方式 存在 于 客户 端 〈 也 就 是 说 ， 
存在 于 运行 Web 浏 览 器 应 用 程序 的 本 地 客户 器 计 算 机 上 ) 。 服 务 嚣 病 肢 
本 是 在 服务 器 上 执行 ， 而 且 脚 本 的 输出 嵌入 在 网 页 中 ， 而 客户 端的 解决 
方案 是 将 舱 入 的 脚本 与 HMTL 代码 和 文本 的 其 他 部 分 一 起 传输 ， 而 且 
脚本 经 由 浏览 器 来 执行 。 

JavaScript 和 VBScript 是 两 种 常见 的 客户 端 脚 本 编程 技术 。 而 且 脚 本 
文件 通常 通过 HTML 来 引用 : 

<script src=”/script.js” type=”text”/javascript”></script> 

标记 可 以 引用 真实 的 指令 ， 或 者 是 引用 包含 代码 的 一 个 外 部 文件 。 
和 
行 得 通 。 


对 茶 些 类 型 的 应 用 程序 来 说， 客户 端 脚本 编程 是 一 种 更 为 有 效 的 选 
































择 。 在 客户 端 执行 脚本 的 解释 器 (interpreter) 更 够 详细 地 查看 本 地 环 
ee 
络 性 能 。 

AJAX (有 时 标榜 为 异步 JavaScript 和 XML 的 缩写 ) 是 使 用 客户 端 脚 
本 编程 来 对 Web 内 容 进 行 无 颖 升级 的 一 组 技术 ， 它 无 需 对 整个 网 页 进行 
刷新 。 其 他 一 些 常 见 的 客户 端 技术 为 用 户 提 供 了 一 些 交 互 选项 ， 它 可 以 
1 
NY。 

客户 端 脚本 编程 相当 常见 ， 但 你 也 可 以 想象 到 ， 它 将 会 带 来 一 些 安 
全 挑战 。 入 侵 者 都 喜欢 在 客户 庙 系统 上 执行 代码 。 现 在 大 多 数 系 统 都 采 
取 了 措施 ， 来 限制 浏览 器 上 的 代码 执行 权限 ， 而 且 在 下 一 节 也 会 讲 到 ， 
用 户 可 以 对 在 浏览 器 上 运行 的 脚本 进行 限制 。 在 与 网 络 相 关 的 软件 中 ， 
最 佳 防范 措施 是 对 系统 进行 实时 升级 ， 而 且 一 旦 在 最 新 的 安全 补丁 推出 
时 ， 就 立即 安装 。 


18.5 Web 浏 览 器 


你 可 能 已 经 知道 ， 万 维 网 的 整个 业务 依赖 于 称 之 为 Web 浏 览 器 的 这 
种 非常 特殊 但 又 很 通用 的 应 用 程序 。 在 本 书 前 面 讨论 的 客户 并 服务 
器 模型 中 ，Web 流 浪 器 就 是 客户 问 。 在 早期 ， 简 单 的 浏览 器 只 是 呈现 早 
期 、 简 单 而 且 静 态 的 HIML 文 件 。 当 web 数据 从 服务 器 端 到 达 时 ， 浏 览 
右 将 对 使 用 特殊 的 字体 、 链 接 和 照片 来 格式 化 文本 的 标记 进行 解释 。 

随 着 Web 数 据 日 渐 复 杂 ，Web 浏 览 器 也 随 之 进化 ， 当 Web 成 为 
Internet 商 业 活 动 的 中 心 时 ， 浏 览 器 也 成 为 主流 软件 厂商 的 一 个 兵家 必 争 
之 地 ， 我 们 现在 将 其 称 之 为 “浏览 器 战争 ”。 

众所周知 ， 对 大 多 数 软件 三 了 两 来 说 ， 浏 览 占 并 没有 市 场 剖 校 ， 而 且 
都 是 作为 免费 软件 推出 的 《或 者 与 操作 系统 绑 定 ， 或 者 是 供用 户 免费 下 
载 )， 那 么 它们 为 什么 要 进行 “浏览 器 战争 ” 昵 ? 像 Microsoft 和 
Netscape (以 及 后 来 的 Google) 这样 的 大 公司 都 知道 ， 控 制 了 浏览 器 ， 
也 束 相 当 于 控制 了 与 Internet 活 动 相 关 的 所 有 技术 ， 它 不 仅 仪 只 是 Web 服 
务 嚣 ， 它 们 还 可 以 通过 提供 开发 工具 和 与 操作 系统 交互 的 API 来 增加 其 
影响 力 ， 并 从 中 获取 经 济 利益 。 

Microsoft 曾经 声称 ， 它 的 操作 系统 中 无 法 与 艇 入 其 中 的 契 浏览 器 
分 离 (该 论点 后 来 被 法 院 驶 回 ) 。Microsoft 希 望 将 其 对 OS 市 场 的 控制 
延伸 到 浏览 吉 市 场 中 ， 以 便 能 够 控制 开发 环境 ， 并 通过 构建 返回 操作 系 
统 的 路 径 ， 来 确保 它们 的 OS 项 目 能 够 继续 占据 主导 地 址 。 

从 用 户 的 角度 来 看 ， 浏 览 器 是 如 今 Internet 上 发 生 的 一 切 事情 的 焦 


























点 。HTML 和 HTTP 标 准 的 目的 是 确保 任何 与 标准 兼容 的 浏览 器 能 够 与 
任何 兼容 标准 的 服务 器 通信 。 但 是 ， ed 
最 低 要 求 ， 然 后 在 其 上 添加 它们 自己 的 一 些 增强 特性 。 这 样 ， 当 用 户 为 
了 给 这 个 专 有 的 开发 环境 开发 目 定 义 的 工具 ， 而 进行 了 大 量 投资 时 ， 将 
不 会 再 轻易 转投 其 他 开发 环境 。 迫 于 诉讼 压力 ，Microsoft 不 得 不 开放 其 
API， 这 很 大 程度 上 解决 了 这 个 问题 。 即 使 如 此 ， 如 今世 界 上 仍然 有 一 
些 自 定 义 的 Web 工具 只 能 用 于 Internet Explorer。 

为 了 彻底 地 参与 到 如 今 的 Internet 当 中 ， 浏览 器 必须 通过 支持 
JavaScript 或 其 他 脚本 技术 ， 来 支持 客户 并 的 脚本 编程 。 取 决 于 浏览 器 和 
人 该 文 持 可 能 是 通过 浏览 器 插件 或 附加 应 用 程序 实现 的 ， 或 者 

通过 操作 系统 实现 的 。 一 个 全 功能 的 浏览 器 必须 支持 数字 签名 和 认 
证 ， 从 而 让 用 户 通过 SSLArLS 加 密 与 HTITPS 来 从 事 安全 的 事务 和 通信 

有关 加 密 通 信 的 更 多 细节 ， 请 见 第 11 章 ) 。 

在 必要 的 情况 下 ， 现代 的 浏览 器 可 以 启动 其 他 应 用 程序 ， 来 打开 文 
件 或 执行 程序 。 通 过 使 用 其 他 应 用 程序 来 扩展 浏览 器 的 功能 ， 可 以 避免 
浏览 器 太 大 、 太 过 和 举重， 而 且 还 可 以 让 应 用 程序 开发 人 员 专 注 于 他 们 的 
专业 领域 。 这 些 扩 展 的 应 用 程序 通常 称 为 插件 或 辅助 应 用 程序 。 

浏览 器 通常 十 分 智能 ， 可 以 识别 缺失 的 插件 ， a 
件 打 开 文 件 或 播放 视频 时 ， 会 询问 用 户 是 否 进 行 安 装 。 大 多 数 浏 览 器 
提供 了 一 种 方法 来 手动 添加 、 移 除 和 管理 配置 中 的 插件 “ 例如 ， 
Internet Explorer 中 ， 在 Tools 菜 单 中 选择 Manage Add-ons 〈 见 图 18.6) 。 

浏览 器 插件 的 经 典 示 例 是 Adobe 工 具 ， 比 如 Acrobat reader 和 Flash 
player。 当 浏览 右 过 到 一 个 链接 引用 或 DPF 文 件 引 用 时 ， 它 会 调用 合适 
的 Acrobat 插 件 来 打开 文件 ， 并 在 浏览 器 窗口 中 显示 相应 的 内 容 。 
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图 18.6 在 Internet Explorer 中 管理 插件 


有 些 插件 提供 了 其 他 形式 的 扩展 和 增强 的 性 能 。 例 如 ，Firefox 提 供 
了 一 组 用 于 报警 、 社 交 化 网 络 和 隐私 的 插件 〈 见 图 18.7) 
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图 18.7 Firefox 提供 了 用 于 社交 化 网 络 、 隐 私 、 报 请 和 其 他 用 途 的 插件 


下 一 章 将 讲 到 ， 最 近 的 HMTL5 标 准 可 能 会 通过 在 浏览 器 内 直接 提 
供 对 视频 编 解 码 器 的 文 持 来 降低 某 些 插件 〈 比 如 Flash) 的 重要 性 。 

浏览 器 配种 的 其 他 关键 组 件 除 了 扩展 浏览 右 的 功能 之 外 ， 也 对 浏览 
器 的 功能 进行 了 限制 。Internet 上 的 新 威胁 不 断 涌现 ， 而 且 旧 有 的 威胁 仍 
然 在 兴风作浪 《尽管 人 们 一 直 在 为 之 努力 )， 因 此 安全 配置 成 为 浏览 器 
环境 中 的 一 个 重要 方面 。 大 多 数 浏 览 器 提供 了 一 种 方式 来 定义 Web 行 为 
的 安全 设置 ， 从 本 质 上 讲 ， 就 是 根据 源 的 信任 级 别 和 用 户 环 境 所 需要 的 
隐私 和 安全 级 别 ， 来 开启 或 关闭 某 些 功能 。Internet Explorer 提 供 了 一 个 
滑动 的 Internet 安 全 级 别 ， 为 脚本 、Active X 控 件 和 网 站 上 可 能 会 出 现 的 
其 他 元 素 提 供 了 不 同 的 控制 级 别 〈 见 网 18.8) 。 单 击 Custom level 按 钮 
来 选择 可 用 的 安全 设置 。 

在 简化 的 Mac OS 世界 中 ，Safari 浏 览 器 提供 了 一 种 启用 和 禁用 Java 
和 JavaScript、 阻 止 弹 出 式 且 单 、 配 置 安全 环境 其 他 因素 的 方法 。 在 
Safari 末 单 中 选择 Preference， 然 后 选择 Security 选 项 来 配置 Safari 安 全 设 
置 〈 见 图 18.9) 。Firefox、Chrome、Opera 和 其 他 浏览 器 也 提供 了 相似 























的 特性 。 许 多 浏览 右 还 允许 用 户 预 定义 一 个 受信 站 点 的 列表 ， 这 样 用 户 


就 可 以 使 用 较 少 的 安全 限制 来 访问 这 些 站 点 。 
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图 18.8 大 多 数 浏览 器 都 有 微调 安全 级 别 的 方法 。 浏 览 露 的 安全 级 别 昌 
越 高 越 好 ， 但 是 过 高 的 安全 设置 会 组 织 合法 的 网 络 行为 
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图 18.9 通过 Safari 的 简洁 界面 ， 可 以 局 动 JavaScript， 并 定义 一 个 cookie 
策略 


18.6 小 结 


本 章 描 述 了 在 那 著名 的 Internet 服务 〈 即 通常 所 说 的 万 维 网 ) 背后 
工作 的 各 个 过 程 ， 内 容 包 括 Web 的 工作 方式 ， 以 及 HTML 文 档 和 HTTP 
协议 。 同 时 ， 本 章 还 介绍 了 动态 HTML 的 概念 。 你 将 在 第 19 和 第 20 章 中 
学 到 更 多 有 关 动 态 HTML 和 其 他 Web 技 术 的 内 容 。 


18.7 问 与 答 


问 : 哪个 HIML 标 记 更 改 文 本 的 颜色 ? 

答 : 要 想 更 改 文本 的 颜色 ， 请 使 用 带 有 COLOR 属 性 的 <FONT> 标 
人 

<FONT COLOR="RED"> red text </FONT> 

问 : 哪个 HIML 标 记 定 义 超 文本 链接 ? 


答 : 对 于 超 文 本 链接 ， 请 使 用 融 有 HREF 属 性 的 <A> 标 记 : 
<A HREF="www.ElvisIsDiseased.com">I'm All Shook Up</A> 


18.8 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问 题 站 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 由 在 为 读 首 提供 一 个 机 会 来 应 用 本 章 讲 解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完 成 这 些 问 题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 


18.8.1 问题 


1. 为 什么 HTTP 支 持 协商 阶段 ? 

2. HTML 文 档 的 主要 部 分 是 什么 ? 

3. 考虑 这 样 一 个 网 站 ， 它 包含 一 个 带 有 书 名 和 价格 信息 的 后 端 数 
据 库 。 你 应 该 使 用 服务 器 端 脚 本 还 是 客户 省 脚 本 来 为 用 户 提供 这 些 信 息 
呢 ? 

4. 假定 你 刚 安 装 了 一 个 新 的 系统 ， 而 且 它 运行 良好 ， 但 是 当 你 访 
问 最 喜欢 的 网 站 并 单 击 一 个 PDF 文件 时 ， 该 文件 却 没有 打开 。 你 如 何 来 
解决 这 个 问题 呢 ? 

18.8.2 练习 


打开 一 个 Web 浏览 器 ， 然 后 进入 一 个 流行 的 商业 网 站 比如 
http://www.cnn.com 或 www.slashdot.org) 。 选 择 浏览 器 菜单 选项 ， 显 示 
网 页 的 源 代码 。 例 如 ， 在 Internet Exploier 中 ， 选择 View 菜 单 ， 然 后 选 
择 Source。 在 Safari 中 ， 选 择 View 和 菜单， 然后 选择 View Source。 在 
Firefox 中 ， 在 Firefox 沫 单 中 选择 Web Developer， 然 后 选择 View Page 
Source。 

这 将 打开 一 个 单独 的 窗口 ， 并 显示 与 网 页 相关 的 HTML。 你 可 以 从 
中 发 现 很 多 本 章 讲 到 的 元 素 。 查 看 一 些 常见 的 而 且 带 有 文本 (显示 在 页 
面 的 主 视图 中 ) 的 静态 HTML。 查 看 带 有 <H1>、<H2> 或 <H3> 标 记 的 标 
题 。 碍 看 带 有 <P> 标 记 的 段落 。 碍 看 超 链接 。 现 在 搜索 属于 JavaScript， 
查找 JavaScript 代 码 。 试 着 确定 每 一 个 代码 块 在 已 完成 的 站 点 试 视图 ( 显 
示 在 浏览 器 窗口 中 ) 上 的 作用 。 


18.9 关键 术语 


复习 下 列 关键 术 话 : 
> 文档 主体 : 包含 将 实际 出 现在 浏览 器 窗口 中 的 文本 的 HITML 文 





























档 部 分 。 这 个 主体 部 分 封装 在 <BODY> 和 </BODY> 标 记 之 间 。 

> 浏览 器 : 一 种 HITP 客 户 端 应 用 程序 。 大 多 数 现 代 的 浏览 器 都 可 
以 处 理 其 他 协议 ， 比 如 FTP。 
ee 客户 端 脚 本 编程 : 一 种 在 客户 端 计 算 机 〈 浏 览 器 系统 ) 上 执行 
A a 

> CGI (公共 网 关 接 口 ); 一 种 程序 设计 接口 ， 允 许 设计 人 员 把 
脚本 和 程序 与 某 个 网 页 结合 在 一 起 。 

> 文档 报头 : HTML 文 档 的 开始 部 分 ， 包 售 文 档 的 标题 和 其 他 可 
选 参数 。 这 个 文档 报头 部 分 封装 在 <HEAD> 和 </HEAD> 标 记 之 间 。 

> 超 文本 链接 : 网 页 的 一 个 突出 显示 部 分 。 当 用 户 单 击 这 种 链接 
时 ， 浏 览 器 就 会 转向 此 URL 指 定 的 另 一 个 文档 或 位 置 。 

> HTML (〈 超 文本 标记 语言 ) : 一 种 用 于 构建 网 页 的 标记 语言 。 
HTML 由 文本 和 描述 格式 化 、 链 接 和 图 形 的 专用 代码 组 成 。 

> HTTP ( 超 文本 传输 协议 ) : 用 来 在 服务 器 和 客户 端 之 间 传 输 
HTML 内 容 的 协议 。 

> PHP: 一 种 流行 的 程序 设计 语言 ， 用 于 Web 开 发 。 
本 服务 器 端 脚 本 编程 :一 种 在 服务 器 系统 “Web 服务 器 〉 上 执行 
A 。 

> 标记 : 一 种 HTML 指 令 。 


第 19 章 新 的 Web 


本 章 介 绍 如 下 内 容 : 

> 新 的 Web; 

> 对 等 连 网 ， 

> IRC 和 IM; 

> 语义 Web; 

> XHTML ; 

> HTML5。 

Web 上 充满 了 新 理念 ， 产 生 了 各 种 各 样 新 的 表单 和 格式 ， 但 是 从 外 
表 上 看 ， 新 的 外 观 可 能 瓯 是 现 有 工具 和 服务 的 巧妙 配合 。 本 章 将 概括 性 
地 摘 述 新 的 Web。 

学 完 本 章 后 ， 你 可 以 : 

> 谈论 博客 (blog) 、 维 基 (wiki〉 和 社交 网 站 (social networking 
site) ; 





> 解释 XHTML 的 用 途 ; 

> 理解 对 等 网 络 是 如 何 工作 的 ; 
描述 IRC 和 IM 消 息 收 发 ; 

> 解释 语义 Web 的 用 途 。 


19.1 Web 2.0 


近期 ， 万 维 网 旧 貌 换 新 磊 ， 正 为 新 一 代用 户 提 供 着 智能 化 和 交互 性 
更 强 的 新 一 代 网 站 。 这 些 技术 合 在 一 起 ， 被 称 为 Web 2.0。 

新 的 Web 组 件 看 上 去 与 老式 网 站 不 同 ， 而 且 从 人 类 交往 和 社区 体验 
的 观点 来 看 ， 它 们 是 具有 革命 性 的 。 但 是 在 后 台 ，Web 2.0 技 术 基 于 许 
多 与 Web 服 务 基础 结构 相同 的 组 件 ， 也 是 一 个 必然 发 展 。 

> 数据 库 系统 : 用 于 存储 和 管理 数据 的 单独 系统 。 

> 设计 元 素 : 预定 义 的 标准 元 素 。 

> 布局 : 站 点 的 结构 。 

> 脚本 : 通过 把 数据 注入 预定 义 结构 来 生成 HTML 代 码 的 一 种 方 


Ts 

像 博 客 、 维 基 和 社交 网 站 这 样 的 Web 奇 迹 都 隐藏 了 这 些 细 节 ， 从 而 
用 户 可 以 自由 地 通过 图 像 、 声 音 和 书面 语言 ， 手 工 制 作 Web 本 体 ， 而 根 
本 不 必 担 心 类 似 HTML 这 样 的 麻烦 细节 。 

19.1.1 内 容 管 理 系 


没 多 久之 后 ，Web 开 发 人 员 和 用 户 就 发 现 ， 将 HTML 标记 输入 到 文 
本 文件 的 这 样 一 个 单调 乏味 的 工作 ， 其 实 是 宝贵 人 力 资源 的 一 种 浪费 。 
而 且 ， 随 着 Web 开 发 癌 商 业 领 域 的 转移 ， 由 此 产生 了 新 一 代 的 web 设计 
人 员 ， 他 们 不 再 是 传统 的 计算 机 程序 员 ， 而 应 该 被 看 作 是 图 形 艺 术 家 或 
编辑 。 对 Web 开 发 进行 简化 ， 同 时 将 其 扩展 到 非 技 术 专 业 人 员 的 需求 ， 
产生 了 一 组 Web 编 辑 工具 ， 这 些 工具 掩藏 了 HTMEL 的 细节 ， 可 以 让 开发 
人 员 在 一 个 简单 的 图 形 界 面 内 操作 ， 从 而 使 得 开发 人 员 看 到 的 页 面 就 像 
了 驶 像 其 最 终 页 面 一 样 。 该 概念 后 来 被 称 为 WYSIWYG 编 辑 界面 。 这 个 缩 
写 通常 的 发 音 是 wizzy-wig， 它 代表 “所 见 即 所 得 ”(What You See Is 
What You Get) 。 换 名 话说， 你 可 以 在 一 个 像 它 将 会 呈现 给 用 户 那 样 显 
示 的 环境 中 ， 处 理 文本、 图像 和 其 他 要 素 。 

WYSIWYG 概 仿 昕 上 去 可 能 并 不 像 你 所 想 的 那么 激进 ， 它 非常 接近 
于 某 个 文字 处 理 器 所 做 的 事 ， 而 且 像 Dreamweaver 这 样 的 Web 开 发 工具 
很 早 就 已 经 提供 这 一 特性 。 事 实 上 ， 这 些 WYSISYG 编 辑 器 在 Web 开 发 
领域 已 经 存在 了 很 长 的 时 间 ， 既 然 这 样 ， 那 么 为 什么 还 要 在 本 章 对 其 进 

















行 介 绍 呢 ? 因为 它们 是 朝 内 容 管理 系统 (Content Management System， 
CMS) 这 类 新 工具 进化 的 必然 步骤 。 

像 Dreamweaver 这 样 的 Web 编 辑 器 可 以 让 用 户 在 图 形 界 面 中 构建 内 
容 ， 然 后 将 结果 输出 到 一 个 HIML 文 件 〈 以 及 其 他 文 持 文 件 ) 中 。 开 发 
人 员 然 后 获得 Web 编 辑 占 工具 生成 的 基于 HTML 的 内 容 ， 并 且 像 发 布 其 
他 HTML 文 件 那 样 ， 将 其 发 布 到 Web 服 务 器 。 

活力 四 射 、 创 意 无 限 的 编程 社区 不 久之 后 意识 到 ， 他 们 可 以 将 该 过 
程 进 一 步 目 动 化 。 下 一 个 必然 步骤 是 将 Web 内 容 的 生成 与 回 Web 访客 
发 布 和 提供 信息 的 实际 过 程 合 并 起 来 。 也 就 是 说 ， 他 们 和 希望 找到 一 种 方 
法 将 这 个 基于 GUI 的 设计 界面 与 Web 服务 器 进行 连接 ， 这 样 通 过 使 用 
同一 个 工具 ， 束 可 以 创建 内 容 ， 并 将 其 发 布 到 该 工具 的 实时 Web 服 务 器 
上 。 与 此 同时 ， 开 发 人 员 还 使 用 了 另外 一 些 Web 服务 技术 〈 这 些 技术 
将 在 下 一 章 讲 到 ) ， 这 些 技术 带 有 后 端 数 据 库 以 及 其 他 数据 管理 特性 。 
带 有 后 端 服务 的 Web 服 务 器 与 WYSIWYG 用 户 界面 的 会 聚 ， 产 生 了 
CMS， 而 且 CMS 现 在 是 在 商业 Web 服 务 器 上 管理 内 容 的 一 种 最 常用 的 方 


法 。 

从 本 质 上 来 讲 ，CMS 是 Web 服 务 器 的 扩展 。 它 通常 运行 在 Web 服 务 
器 所 在 的 机 器 上 ， 而 且 用 户 通过 远程 客户 端 工作 站 上 的 Web 接 口 与 它 进 
行 交 互 。 通 过 CMS 管理 的 Web 内 容 作 为 属性 值 系统 进行 存储 和 管理 ， 这 
种 存储 和 管理 是 通过 可 扩展 编辑 语言 (XML ) 或 其 他 形式 的 后 端 数据 
库 实 现 的 〈 见 图 19.1) 。 























Web 服务 器 
应 用 程序 









Web 客户 端 
图 19.1 运行 在 Web 服 务 器 之 上 的 CMS， 它 提供 了 一 个 友好 的 配置 界 
面 ， 而 且 内 容 数 据 通 常 存储 在 后 病 数 据 库 中 ， 或 以 XML 的 形式 存储 





Web 服务 器 





CMS 界面 通常 内 置 在 标准 的 服务 器 端 Web 脚本 组 件 中 ， 它 是 使 用 
PHP、Perl、Java 或 ASP.NET 语 言 实现 的 。 如 今 使 用 的 CMS 应 用 程序 包 
括 像 Drupal 和 Wordpress 这 样 的 免费 工具 ， 也 有 像 Microsoft SharePoint 这 
样 的 专 有 应 用 程序 。 

尽管 一 个 好 的 CMS 可 以 处 理 大 量 的 web 场景 ， 当 Web 内 容 包 含 遵 循 
标准 模式 的 多 个 实例 时 ， 比 如 博客 ， 或 者 是 每 一 个 条 目 都 包含 一 组 预定 
义 元 素 〈 标 题 、 作 者 、 摘 述 、 主体 等 ) 的 网 络 杂志 ，CMS 系 统 可 以 发 挥 
其 最 大 用 途 。 

除了 提供 一 个 用 于 管理 和 发 布 内 容 的 简单 界面 之 外 ， 许 多 CMS 工具 
II 
条 目的 情况 下 ， 束 可 以 轻松 创建 出 一 个 目 定 义 的 外 观 。 

19.1.2 社交 化 网 络 

尽管 社交 化 网 络 现象 已 经 成 为 一 个 相当 宽泛 的 话题 ， 它 涉及 的 技术 
和 工具 相当 宽泛 ， 而 且 甚 至 偏离 了 TCP/IP 的 基本 主题 ， 但 是 仍然 有 必要 
指出 ， 像 Facebook 这 样 的 社交 化 网 络 站 点 代表 了 CMS 概念 的 进一步 演 

化 。EFacebook 以 及 与 之 相似 的 其 他 形态 将 CMS 和 Web 观 看 体验 融合 到 一 
个 单一 的 工具 中 。 

Facebook 页 面 的 拥有 者 可 以 登录 到 一 个 安全 空间 ， 这 个 安全 空间 的 
界面 充当 CMS， 可 以 让 拥有 者 输入 文本 和 张贴 图 片 ， 以 供 访客 查看 。 
其 理念 是 与 用 户 相 关 的 一 组 属性 存储 在 数据 库 中 ， 当 有 人 请 求 页 面 时 ， 
运行 在 服务 器 上 的 软件 将 特定 用 户 的 数据 与 定义 了 站 点 结构 的 通用 模板 
相 融 合 ， 从 而 形成 供 访客 查看 的 页 面 。 

对 查看 页 面 的 用 户 来 说 ， 页 面 虽 然 有 独特 的 Facebook 外 观 ， 但 是 看 
起 来 就 像 一 个 普通 的 站 点 。 其 他 技术 《比如 在 线 聊 天 ) 创建 了 一 个 丰富 
的 用 户 体验 ， 但 是 在 所 有 的 应 用 层 以 及 API 之 下 ，Facebook 页 面 仍然 是 
ee 其 中 Web 服 务 器 和 基于 浏览 器 的 客户 端 通过 HTTP 

通 


19.1.3 博客 和 维基 


博客 (blog) 的 英文 全 名 为 weblog〈 网 络 日 志 ) ， 是 一 种 电子 杂志 
或 者 是 在 线 日 志 ， 在 那里 ， 新 故事 被 添加 到 顶部 ， 而 较 老 的 故事 则 在 一 
个 垂直 列表 中 向 下 深 动 。 博 客 按 照 时 间 顺 序 排列 深 动 的 特性 ， 给 人 的 印 
象 是 它 一 直 在 发 展 变化 ， 因 此 能 吸引 读者 再 访问 。 从 本 质 上 讲 ， 一 些 写 
博客 的 人 就 是 在 记 在 线 日 记 ， 但 是 评论 员 、 记 者 和 公司 发 言 人 也 在 使 用 
这 种 形式 。 许 多 博客 ， 例 如 Slashdot.org 站 点 ， 都 是 查看 高 科技 新 闻 和 评 
论 的 好 地 方 〈 见 图 19.2) 。 
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图 19.2 Slashdot.org 是 一 个 流行 的 博客 站 点 


大 多 数 博客 其 实 是 CMS 的 一 种 特殊 形式 ， 而 且 许 多 标准 的 CMS 工 
有 具 提供 了 内 置 的 博客 编写 支持 。Slashdot 使 用 的 博客 编写 软件 是 一 种 被 
称 为 Slash 的 工具 ， 它 实际 上 是 一 个 开源 的 应 用 程序 ， 可 以 通过 
SourceForge 站 点 (http://sourceforge.net/projects/slashcode/) 免费 下 载 。 
Microsoft 公 司 提供 了 Windows Live Writer 桌 面 博 客 编写 应 用 程序 。 

研究 博客 是 如 何 起 作用 的 一 种 方法 ， 是 查看 发 送 给 客户 端的 源 代 
码 。 大 多 数 Web 浏 览 器 都 提供 得 看 与 Web 文 档 相 关 的 源 代 码 的 特性 。 在 
Slashdot 这 个 示例 中 ， 可 以 发 现 ， 不 同 的 新 条 目 都 是 通过 一 系列 众 套 的 
HTML <div> 标 记 创 建 的 。<div> 标 记 表 示 文 档 内 的 一 个 部 分 或 节 。 从 浏 
览 器 查看 到 的 代码 是 已 经 到 达 客 户 端 的 完成 了 的 HTML 代 人 码 。 在 服务 器 
端 ， 应 用 程序 或 脚本 在 Slashdot 这 个 示例 中 ， 就 是 Slash 程序 ) 生成 
代码 ， 根 据 与 此 新 故事 相关 的 数据 记录 ， 为 故事 标题 、 摘 述 、 介 绍 、 图 
像 等 元 素 插 入 属性 值 。 

维基 是 一 种 充当 轻松 协作 和 信息 共享 空间 的 网 站 。 维 基 的 出 发 点 ， 
是 为 用 户 提 供 一 个 张贴 评论 、 文 档 和 其 他 重要 信息 的 位 置 。 在 理论 上 ， 

















维基 是 很 容易 扩展 的 。 用 户 可 以 轻松 地 创建 新 的 页 面 ， 并 将 它们 链接 到 
现 有 页 面 。 一 些 维基 还 提供 版 本 控制 ， 这 意味 着 可 以 分 别 跟 踊 不 同 用 户 
的 编辑 修改 。 

世界 上 最 大 的 维基 是 巨大 的 在 线 百 科 全 书 Wikipedia 〈 见 图 19.3) 。 
维基 百科 用 户 可 以 张贴 他 们 自己 的 条 目 ， 而 且 可 以 编辑 现 有 条 目 〈 单 击 
Wikipedia 沫 单 中 的 Recent Changes 链 接 ， 可 得 看 对 某 一 条 目的 更 改 ) 。 

维基 被 公司 和 其 他 组 织 广泛 用 作 编 制 计 划 、 协 调 工 作 和 组 织 文档 的 
一 种 手段 。MediaWiki (Wikipedia 站 点 上 使 用 的 软件 ) 也 是 一 种 免费 提 
供 的 开源 应 用 程序 (http:/www.mediawiki.org/wiki/MediaWiki)。 

维基 系统 的 设计 可 以 千变万化 ， 但 是 你 可 以 把 一 个 维基 页 面 或 者 是 
条 目 《〈 例 如 Wikipedia 中 的 一 个 条 目 ) 看 做 是 分 派 给 标准 属性 的 一 组 属性 
| 

， 如 下 所 示 。 
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图 19.3 应 用 程序 通过 称 为 端 


> Title: 该 条 目的 标题 。 


> Category: 该 条 目 按照 主题 的 层次 分 类 。 

> Language: 编写 该 条 目的 语言 。 

> Contents: 与 该 条 目 相关 的 完整 HTML 代码 。 

通过 扩展 这 个 结构 ， 还 可 以 跟踪 对 文本 的 修订 。 当 这 个 页 面 被 请 求 
ee 


19.2 对 等 网 络 


有 一 种 被 称 为 对 等 连 网 (P2P，peer-to-peer) 的 新 的 信息 共享 技 
术 ， 了 逐渐 形成 于 Internet 首 乐 共 享 团体 (例如 Napster) 。 对 等 连 网 这 个 
术语 实际 上 取 自 LAN 网 络 上 的 有 关 配 置 ， 在 那里 ， 服 务 是 分 散 的， 而且 
每 一 台 计 算 机 都 既 充 当 客 户 端 义 充 当 服 务 占 。Intemet 对 等 连 网 形式 允许 
整个 网 络 里 的 计算 机 ， 在 数据 共享 团体 中 分 享 数 据 。 换 句 话说 ， 数 据 并 
不 是 来 自 单 台 服 务 大 量 客户 并 请 求 的 Web 服 务 嚣 。 相 反 ， 数 据 保留 在 整 
个 团体 的 普通 PC 上 。 

如 果 你 已 经 仔细 陪读 过 本 书 ， 那 么 可 能 会 奇怪 ， 刚 才 摘 述 的 这 个 对 
等 连 网 场景 与 普通 的 联网 有 何不 同 呢 。 其 实 ， 上 一 段 中 所 要 表达 的 束 
是 ， 每 一 个 对 等 体 〈peer) 必须 能 够 既 充 当 客 户 端 〈 请 求 数据 ) 又 充当 
服务 器 (满足 请 求 )。 简 短 的 回答 是 ， 在 连接 建立 之 后 ， 对 等 连 网 就 是 
普通 的 连 网 。 较 长 的 回答 是 ， 这 承 是 为 什么 对 等 连 网 被 认为 是 有 点 革命 
性 的 原因 。 

多 样 性 是 Intermet 的 创建 目标 之 一 ， 而 且 从 理论 上 讲 ， 任 意 一 台 能 够 
连接 到 Internet 的 计算 机 ， 都 可 以 与 其 他 任何 连接 到 Internet 并 装 有 必要 
服务 的 兼容 计算 机 建立 一 个 连接 。 不 过 要 考虑 到 普通 PC 并 不 总 是 开 
着 。 同 时 还 要 考虑 到 ， 绝 大 多 数 连接 到 Internet 的 计算 机 都 没有 永久 性 的 
IP 地 址 ， 而 是 通过 DHCP 接 收 一 个 动态 地 址 。 在 常规 的 TCP/IP 网 络 上 ， 
其 他 计算 机 不 可 能 知道 如 何 联 系 一 台 没 有 永久 性 IP 地 址 或 域名 的 计算 


机 。 

对 等 连 网 技术 的 设计 人 员 知 道 ， 在 解决 这 些 问题 之 前 ， 他 们 对 于 一 
个 多 变 的 首 乐 共享 团体 的 想象 是 不 会 实现 的 。 他 们 的 解决 方案 是 提供 一 
台中 央 服 务 器 ， 用 于 分 配 客户 端 随后 可 以 用 来 相互 建立 连接 的 连接 信 
恩 。 如 图 19.4 所 示 ， 计 算 机 A 的 用 户 登 录 到 Internet。 该 用 户 计 算 机 上 的 
客户 端 软件 告诉 服务 器 这 个 用 户 来 了 。 服 务 器 记录 客户 端的 人 PP 地址 以 及 
该 客户 器 已 经 提供 给 所 在 团体 的 所 有 文件 。 计 算 机 B 上 的 一 个 用 户 连接 
到 服务 器 ， 并 发 现 计 算 机 A 上 有 一 个 所 需 的 文件 。 服 务 器 同 计 算 机 B 提 
供 联系 计 算 机 A 所 必需 的 信息 。 计 算 机 了 B 联 系 计算 机 A， 建 立 一 个 直接 的 











连接 ， 然 后 下 载 所 需 的 文件 。 
服务 器 保存 有 关 客 户 端 资源 的 信息 





计算 机 A 
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计算 机 B 了 解 到 计算 机 A 
有 其 所 需要 的 资源 ， 然 后 
与 计算 机 A 形成 一 个 直接 
连接 ， 以 获取 该 资源 


计算 机 A 计算 机 B 


图 19.4 一 台 对 等 连 网 计算 机 注册 其 地 址 以 及 其 资源 列表 ， 其 他 计算 机 接 
者 通过 直接 连接 来 访问 那些 资源 


对 等 连 网 团体 的 最 大 优点 是 ， 请 求 所 需 的 耳 地 址 以 及 建立 相应 连接 
的 细节 ， 都 是 在 客户 端 软件 中 处 理 的 。 用 户 停 留 在 对 等 连 网 应 用 程序 的 
用 户 界 面 中 ， 不 必 知 道 任 何 有 关连 网 的 事情 。 

对 等 连 网 已 经 遭 到 择 击 ， 但 并 不 是 因为 其 技术 的 不 足 ， 而 且 是 因为 
法 律 原 因 。 对 于 P2P 的 发 展 来 说 ， 它 受到 择 击 的 一 个 理由 就 是 ， 它 使 得 
受 版 权 保护 的 素材 更 加 容易 让 人 非法 获得 和 使 用 。 


19.3 IRC 和 IM 
实时 文本 消息 收发 系统 已 经 存在 很 多 年 了 。 实 际 上 ， 其 概念 在 时 间 


上 还 早 于 我 们 现在 知道 的 Internet。 然 而 最 近 几 年 ， 基 于 Internet 的 聊天 
得 到 了 新 一 代用 户 的 广 为 喜 爱 。 相 对 于 电话 聊天 来 说 ， 许 多 用 户 更 喜欢 























消息 收发 。 人 们 可 以 在 计算 机 屏幕 上 工作 的 同时 聊天 ， 而 且 文 本 通常 没 
有 声音 那样 容易 打扰 人 ， 有 助 于 更 轻松 地 处 理 多 任务 。 有 些 用 户 甚 至 可 
以 同时 应 付 多 个 消息 收发 会 话 ， 而 这 对 于 电话 来 说 是 很 难 实现 的 。 

当前 ， 有 几 种 消息 收发 形式 ， 有 些 是 专 有 的 ， 有 些 是 开放 的 。 被 称 
为 Internet 中 继 聊天 〈Internet Relay Chat，IRC) 的 流行 形式 ， 其 实在 一 
系列 Internet RFC 〈 从 REFC 1459 开 始 ， 在 包括 RFC 2810 一 2813) 中 均 有 
描述 。 

IRC 实际 上 是 在 TCP/IP 应 用 层 上 运行 的 一 个 协议 。IRC 协议 被 正 
式 分 配 的 端口 为 TCP 端 口 194， 但 是 服务 器 通常 在 更 高 的 端口 号 处 运 
行 ， 以 避免 使 用 root 权 限 操 作 。 一 个 IRC 网 络 就 是 一 组 IRC 服 务 器 被 配置 
为 相互 通信 ， 以 支持 网 络 用 户 的 交互 聊天 会 话 。 

聊天 会 话 通过 IRC 通 道 进行 。 来 自 网 络 中 任何 位 置 的 多 名 用 户 都 可 
以 连接 到 该 通道 ， 并 进行 实时 通信 (〈 见 图 19.5) 。 通 道 组 可 以 围绕 某 个 
普通 的 业余 爱好 或 专业 兴趣 形成 ， 也 可 以 围绕 家 庭 或 社会 联系 形成 。 被 
指派 为 通道 管理 者 的 一 名 用 户 在 理论 上 负责 该 通道 ， 具 有 禁止 用 户 或 主 
持 聊 天 内 容 的 权力 。 
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图 19.5 IRC 服务 器 接收 来 自用 户 的 连接 ， 并 与 网 络 上 的 其 他 服务 器 通信 


客户 端 程序 允许 用 户 连接 到 某 台 IRC 服 务 器 ， 并 加 入 某 个 聊天 通 
道 。 基 于 文本 的 客户 端 ， 通 过 一 系列 文本 命令 进行 通信 。 最 近 的 图 形 用 
户 界 面 (GUI) 工具 忽略 了 这 种 命令 语法 的 重要 性 ， 人 允许 用 户 像 正常 会 
话 一 样 输 入 文本 。 

当前 世界 遍布 了 许多 IRC 网 络 。 最 大 型 的 IRC 网 络 ( 例 如 EFnet) 据 
称 最 多 可 以 同时 支持 3 万 名 用 户 。 

IRC 网 络 很 容易 加 入 ， 有 时 只 不 过 要 求 使 用 一 个 在 线 昵 称 来 注册 和 
登录 。 有 些 IRC 网 络 已 经 努力 强制 实行 更 加 有 力 的 安全 措施 ， 然 而 ， 无 
论 你 怎样 加 强 安 全 措施 ，IRC 仍然 永远 不 会 被 认为 是 特别 安全 的 。 


即时 通信 〈IM) 在 概念 上 与 聊天 相似 ， 但 是 它 没 有 那么 多 标准 ， 
而 且 通 常 提供 冰 围 更 广 的 选项 。 用 户 一 般 只 需 注 册 ， 下 载 客户 端 应 用 程 
序 ， 然 后 与 同 在 一 个 网 络 的 朋友 们 交换 联系 信息 即 可 。IM 系 统 通 常 是 
专用 的 ， 而 且 相 应 的 网 络 都 由 大 型 Internet 公 司 管理 。 最 大 的 即时 通信 网 
络 是 AOL Instant Messenger (AIM) 网 络 ， 估 计 有 5 千 万 名 活跃 用 户 。 
其 他 专 有 的 系统 包括 Windows Live Messenger 网 络 和 Yahoo! 网 络 。 

当前 ， 还 流行 着 一 种 基于 可 扩展 消息 处 理 现 场 协 议 〈Extensible 
Messaging and Presence Protocol，XMPP) 的 开源 即时 通信 ， 其 技术 来 自 
于 Jabber 网 络 。XMPP 是 一 种 以 XML 为 基础 的 协议 ， 用 于 交换 聊天 消 
恩 。Jabber 网 络 估计 在 全 球 共有 4 于 万 名 用 户 。 


19.4 语 义 Web 


语义 Web 这 个 充满 雄心 壮志 的 概念 ， 是 当前 可 能 真 的 会 引发 男 一 场 
Internet 革 命 的 一 个 研究 领域 ， 其 前 途 一 族 光 明 。 语 义 Web 得 到 了 万 维 网 
创建 者 Tim Berners-Lee 的 全 力 支持 和 拥护 ， 语 义 Web 是 一 种 通用 技术 ， 
用 于 把 Web 数据 和 人 类 理解 的 真实 语义 联系 起 来 。 换 句 话说 ， 其 目的 束 
是 设法 以 一 种 计算 机 容易 访问 和 处 理 的 方式 来 编码 Web 信 息 的 含义 。 

要 想 理 解 语 义 Web 的 用 途 ， 必 须 从 网 页 上 还 真是 有 点 小 学 问 的 某 种 
ee 
J : 

A Streetcar Named Desire 

Lawrence Community Theater 

Saturday, October 12, 2008 

7:30 PM 

看 到 这 个 文本 的 人 立刻 就 会 知道 ， 它 是 一 个 将 会 于 2008 年 10 月 12 
日 晚 7 时 30 分 在 Lawrence 社 区 剧院 举行 活动 的 通知 。 许 多 读者 还 会 看 出 
A Streetcar Named Desire (欲望 号 街 车 ) 这 个 名 称 是 一 部 著名 的 戏剧 ， 
但 是 那些 不 认识 这 个 标题 的 人 仍然 会 推断 这 个 事件 是 一 部 戏剧 或 电影 ， 
因为 它 与 一 个 剧院 相关 。 

相反 ， 一 人 台 计 算 机 将 只 会 把 那些 行 读 做 字母 数字 文本 。 该 计算 机 实 
际 上 根本 不 知道 这 段 文本 的 任何 含义 。 它 不 知道 剧 阮 是 什么 ， 而 且 除 非 
你 专门 告诉 它 ， 否 则 它 也 不 知道 第 3 行 是 一 个 日 期 。 束 此 而 言 ， 搜 索引 
擎 甚至 会 为 某 个 正在 搜索 市 内 有 轨 电 车 时 刻 表 的 用 户 提 交 该 页面 。 

语义 Web 的 工具 有 天 一 日 将 会 帮助 Web 开 发 人 员 编 码 语义 信息 ， 使 
得 自动 化 进程 能 够 知道 这 个 页 面 是 有 关 一 部 戏剧 ， 而 不 是 乘坐 有 轨 电 车 
车 票 的 。 由 于 这 个 语义 信息 会 被 与 页 面 本 身 编码 在 一 起 ， 因 此 站 点 创造 



































者 将 不 需要 任何 有 关 读 者 会 如 何 使 用 该 信息 的 高 级 知识 。 任 何人 稍 后 都 
可 以 过 来 创建 一 个 搜索 有 关 戏 剧 信息 的 工具 ， 而 且 该 工具 将 会 找到 这 个 
戏剧 的 通知 。 不 同 网 站 可 以 不 同方 式 呈 现 此 类 信息 (没有 标准 格式 或 样 
式 ) ， 而 戏剧 查找 应 用 程序 仍然 会 找到 这 些 戏 剧 ， 只 要 这 些 语义 信息 明 
确 表示 文本 的 含义 即 可 。 

19.4.1 资源 描述 框架 


尽管 万 维 网 联盟 (W3C) 的 出 版 物 里 已 经 提出 了 几 个 策略 ， 但 是 语 
义 Web 技 术 目 前 仍 处 于 试验 阶段 。 有 一 个 在 web 社区 中 已 经 受到 大 量 关 
注 的 语义 Web 工具 被 称 为 资源 描述 框架 (Resource Description 
Framework，RDF) 。RDF 是 一 种 用 来 表达 提供 含义 指示 的 关系 的 框 
架 。RDEF 的 基本 单位 是 一 条 由 3 个 部 分 组 成 的 语句 ， 在 RDEF 中 被 称 为 三 
元 组 。 三 元 组 的 结构 与 基本 句子 的 主 、 谓 、 宾 结构 相似 。 

例如 ， 在 “The play has the title A Streetcar Named Desire” 这 个 句子 
中 ， 主 语 是 “The play”， 宾 语 是 “A Streetcar Named Desire”， 而 谓语 
是 “has the title”。 

RDF 三 元 组 可 以 采用 数 种 形式 ， 但 是 其 要 领 是 每 一 个 元 素 都 被 表 示 
为 一 个 通用 资源 标识 符 〈URI) ， 并 且 这 些 URI 串 联 在 一 个 用 冒号 隅 开 
的 列表 中 。 都 柏林 核心 元 数据 计划 (Dublin Core Metadata Initiative ) 组 
织 维 持 着 RDF 三 元 组 中 所 引用 的 标准 谓语 的 数据 库 。 例 如 ， 下 列 标 注 
<http://purl.org/dc/elements/1.1/title> 指 的 是 谓语 “has the title”。 
We a 有 朝 一 日 可 能 会 使 得 搜索 工具 变 得 更 加 
总 明 。 


19.4.2 微 格式 


RDF 是 一 种 可 以 为 文本 添加 含义 的 强大 工具 。 但 是 ，Internet 社区 
正在 进行 一 场 激烈 的 讨论 ， 其 讨论 的 主题 是 RDF 概 念 是 否 太 过 复杂 、 大 
滔 费 精力 ， 以 至 于 无 法 应 用 到 普通 的 Web 开 发 方法 中 。 一 种 替代 方法 是 
0 它 没 有 过 高 的 要 求 ， 而 且 对 Web 从 业 人 员 来 说 ， 它 更 容易 管理 
[0 8 

与 RDF 不 同 ， 微 格式 不 会 试图 表示 完整 的 句子 结构 和 语法 结构 。 
微 格式 的 目的 是 使 用 一 个 预先 定义 的 含义 来 标记 一 段 与 之 相关 的 文本 ， 
这 样 查 看 站 点 的 浏览 器 或 其 他 Web 应 用 程序 束 可 以 知道 这 段 文字 的 用 


尽管 微 格 式 的 实现 依赖 于 HTML 中 的 现 有 标记 和 概念 ， 但 是 它 不 属 
于 任何 官方 Internet 规 范 。 微 格式 社区 都 是 独立 出 现 的 ， 其 中 一 部 分 接受 
了 非 盘 利 组 织 CommerceNet( 它 对 促进 Internet 商 务 中 的 机 会 很 感 兴 趣 ) 
的 资助 。 



































微 格式 是 一 个 特定 的 名 称 / 值 对 的 词汇 ， 主 要 为 特定 目的 服务 。 可 
以 按照 如 下 格式 使 用 微 格式 词汇 : 

calendars (hCalendar) 

business cards (hCard) 

recipes (hRecipe) 

copyright information (rel-license) 

当 一 个 文本 块 与 一 个 微 格式 相关 时 比如 一 份 简历 ， 它 可 以 通过 
hResume 微 格式 来 识别 ) ， 则 周围 的 文本 元 素 就 可 以 与 构成 简历 的 不 同 
元 素 《〈《 比 如 经 历 、 技 能 、 背 景 、 出 版 物 ) 建立 关联 。 

或 许 如 今 最 常 使 用 的 微 格式 是 hCard 微 格式 ， 它 主要 在 名 片 中 使 
用 。hCard 是 vCard 格式 的 化 映 ， 其 中 后 者 是 一 种 MIME 类 型 ， 最 初 在 
RFC 2426 中 定义 。 

使 用 hCard 微 格式 标记 的 一 个 简单 的 HTML 数 据 示 例如 下 所 示 : 

<div class =”vcard”> 

<div class=”fn”>Abraham Lincoln</div> 

<div class=”org”> Former Presidents USA</div> 

<div class=”tel”>785-842-5115</div> 

<a class=”url” 

href=”http://former_presidents.org”>http://former.presidents.org</a> 

</div> 

当然 ， 还 可 以 使 用 其 他 设置 来 指明 街道 地 址 和 E-mail 地 址 ， 甚 至 可 
以 指明 电话 是 家 用 电话 、 办 公 电 话 、 手 机 ， 还 是 传真 号 。 如 果 网 页 上 的 
文本 使 用 这 些 hCard 设 置 进行 了 标记 ， 访 问 该 站 点 的 浏览 器 会 立即 知道 
如 何 处 理 这 些 信息 。 可 以 感知 微 格式 的 浏览 圳 会 目 动 将 数据 格式 化 为 名 


js 

有 关 微 格式 发 展 的 更 多 细节 ， 比 如 用 于 特定 微 格式 的 规范 ， 甚 至 是 
能 够 自动 生成 微 格式 数据 的 某 些 工具 ， 请 访问 microformats.org 网 站 。 本 
章 后 面 会 讲 到 ， 随 着 HTML5 的 出 现 ， 一 种 名 为 微 数据 的 相似 概念 现在 
进入 到 了 官方 的 Internet 词 典 中 。 


19.5 XHTML 


许多 新 的 Web 工 具 ， 以 及 当今 出 现在 Internet 上 的 许多 其 他 站 点 ， 都 
依赖 于 另外 一 个 技术 的 发 展 ， 尽 管 该 技术 对 本 章 而 言 很 专业 ， 但 是 还 有 
必要 提 及 。XHTML 标准 可 以 将 老式 的 HIML 和 基于 XML 的 Web 环 境 的 
现实 桥接 起 来 (有关 XML 的 更 多 细节 ， 请 见 第 20 章 ) 。 从 本 质 上 讲 ， 
XHTML 一 个 定制 的 HTML 功 能 ， 而 且 它 符合 XML 语法 。XHTML 格 式 在 




















XML 模式 (schema) 的 可 机 读 的 限制 内 ， 提 供 了 HTMEL 的 所 有 表现 力 。 

尽管 XHTML 的 概念 与 HIML 相 似 ， 但 是 XHTML 对 于 马虎 或 者 是 不 
规范 的 编码 习惯 更 加 苛求 。 某 些 声明 的 方式 不 同 〈 或 者 说 更 加 正规 ) ， 
而 且 标记 的 嵌 套 必须 更 加 井井有条 和 精确 。 把 HIML 表 示 成 XML 模式 的 
目的 ， 是 为 了 使 开发 人 员 在 构建 生成 和 解释 代码 的 脚本 及 其 他 程序 时 ， 
能 够 更 加 灵活 。XHTML 还 有 助 于 更 容易 地 被 接收 实体 动态 解释 或 修 
改 。 例 如 ， 移 动 设 备 的 小 屏幕 可 能 无 法 按照 规定 的 那样 显示 标准 的 
HTML 页 面 ， 但 是 把 该 页 面 当 作 XHTML 接 收 的 客户 端 应 用 程序 ， 可 以 
轻松 地 为 比较 小 的 屏幕 修改 文本 。 

很 多 人 都 相信 ，HTML5 的 出 现 将 会 降低 XHTML 的 重要 性 。 


19.6 HIMULo5 


如 今 ，Intermet 上 发 生 的 一 个 最 重要 的 变化 就 是 它 采 纳 了 新 的 
HTML。HTML5 已 经 被 讨论 了 多 年 ， 最 终 它 还 是 成 功 进 入 到 了 Internet 
的 日 常 应 用 中 。 

如 果 你 得 看 HTML5 特 性 列表 ， 就 会 看 到 ，HTML 作 为 一 天 推动 移动 
革命 的 工具 ， 其 新 的 职责 都 在 它 的 许多 特征 中 得 以 体现 。HTML5 标 准 

含 许 多 用 于 从 移动 设备 浏览 Web 的 特性 。 然 而 ， 其 他 一 些 特 性 只 是 反 
映 了 Web 环 境 的 进一步 演变 ， 并 且 将 曾经 由 插件 和 扩展 提供 的 功能 直接 
合并 到 HTML 中。 

HITML5 的 一 些 重要 的 新 特性 如 下 所 示 : 

> 支持 本 地 存储 和 离线 应 用 程序 ; 

> 绘图 (drawing) ; 

> 租 入 式 音频 和 视频 ; 

> 地 理 定位 ; 

5 语义 元 素 。 

下 面 的 小 结 将 讲解 HTML5 中 的 这 些 重要 进展 。HTML5 标 准 还 包含 
其 他 改进 ， 比 如 拖 放 API 和 对 表单 的 更 好 支持 。 在 很 多 方面 ，HTML5 让 
HTML 看 起 来 更 像 一 个 用 于 开发 Web 应 用 程序 的 开发 环境 。 长 久 以 来 ， 
开发 人 员 一 直 使 用 HTML 及 其 相关 的 技术 来 构建 基于 Web 的 客户 端 / 服 
务 器 应 用 程序 ， 但 是 其 中 很 多 功能 需要 借助 于 额外 的 组 件 和 第 三 方 扩展 
才能 实现 。HTML5 将 很 多 功能 直接 内 置 到 HTML 当 中 。 在 移动 设备 编程 
快速 发 展 的 今天 ， 开 发 人 员 已 经 开始 使 用 HTML5 来 构建 跨 平台 的 移动 
应 用 程序 ， 通 过 对 它们 进行 细微 的 修改 ， 它 们 就 可 以 运行 在 Android、 
iPhone 和 其 他 平台 上 。 

当然 ， 标 准 机 构 采 纳 HITML5 标 准 并 不 能 保证 大 型 的 Pternet 社 区 也 


























会 采纳 HIML5。 有 些 流行 的 浏览 器 已 经 开始 支持 HIML5， 而 且 Web 服 
务 器 也 能 够 与 最 新 的 HIML 连 接 。 但 是 ， 除 非 web 开 发 人 员 开 始 构 建 集 
成 了 HIML5 元 素 的 常见 页 面 ， 耕 则 ， 在 你 日 第 的 网 上 冲浪 中 ， 你 不 会 
发 现 HTML5 的 益处 。 

19.6.1 HTML5 本 地 存储 和 离线 应 用 程序 的 支持 


cookie 是 Web 服 务 器 存储 在 远程 客户 端 系统 上 的 一 小 块 永久 性 数 
据 。 多 年 以 来 ，cookie 一 直 是 Web 场景 中 的 一 部 分 ， 你 可 以 在 大 多 数 
Web 浏览 右 中 发 现 配 置 选 项 ， 通 过 它们 ， 可 以 管理 cookie 的 存储 和 保存 
方式 。Web 服 务 器 使 用 cookie 来 恢复 之 前 的 应 用 程序 的 状态 ， 或 者 是 存 
储 与 用 户 之 前 行为 相关 的 信息 。cookie 是 大 多 数 Web 开 发 人 员 ( 和 大 多 
数 Web 用 户 ) 非常 熟悉 的 一 个 有 用 的 工具 ; 但 是 ， 它 本 和 喘 还 有 一 些 限 
制 。Cookie 的 存储 容量 只 有 4KB， 仅 能 存储 与 用 户 和 会 话 历史 相关 的 少 
量 数据 ， 但 是 如 今 的 Web 开 发 人 员 需 要 更 多 的 本 地 存储 。 

HTML5 目 带 的 本 地 存储 特性 极 大 地 扩展 和 增强 了 Web 浏 览 右 在 本 
地 系统 存储 和 恢复 信息 的 方法 。HTML5 存 储 ( 也 称 为 Web 存 储 或 DOM 
存储 ) 可 以 让 浏览 器 存储 Web 应 用 程序 内 定义 的 设置 值 。 本 地 存储 具有 
很 多 好 人 处。 例如， 在 客户 端 执行 的 脚本 将 临时 结果 隐藏 在 存储 区 域内 ， 
因此 降低 了 通过 网 络 与 服务 器 进行 通信 的 需求 ， 从 而 提升 了 性 能 。 存 储 
空间 还 可 以 存放 当前 会 话 状态 的 完整 视图 ， 这 样 ， 当 服务 器 骨 江 或 连接 
丢失 时 ， 基 于 Web 的 游戏 或 其 他 交互 式 应 用 程序 也 可 以 恢复 过 来 〈 在 某 
些 情况 下 ， 可 以 让 应 用 程序 处 于 暂时 运行 状态 ) 。 

HTML5 的 本 地 存储 功能 产生 了 另外 一 个 重要 的 改进 : 离线 应 用 程 
序 的 支持 。 文 持 离线 应 用 程序 特性 的 web 浏览 器 可 以 在 网 络 连接 断 开 
时 ， 继 续 运 行 。 

在 图 19.6 中 ， 支 持 离线 处 理 的 web 应 用 程序 包含 一 个 缓存 清单 
(cache manifest) ， 其 中 列 出 了 离线 运行 时 所 需要 的 文件 和 其 他 资源 。 
0 次 连接 到 站 点 时 ， 组 存 清单 中 列 出 的 文件 将 会 下 载 到 客户 
J 余 纪 
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图 19.6 缓存 清单 列 出 了 离线 处 理 所 需 要 的 资源 。 客 尸 问 下 载 所 需要 的 文 
件 ， 因 此 在 连接 丢失 时 也 可 以 继续 运行 


当 网 络 不 可 达 时 ，Web 应 用 程序 可 以 通过 缓存 清单 中 列 出 的 文件 的 
离线 版 本 来 继续 运行 。 竺 一 看 ， 似 乎 没有 那么 让 人 印象 深刻 (当然 ， 只 
要 应 用 程序 访问 的 所 有 文件 都 在 系统 中 ， 那 么 它 就 可 以 运行 ) 。 问 题 
是 ， 下 载 到 客户 端的 文件 不 久之 后 就 会 过 期 。 但 是 ，HTML5 离 线 应 用 
程序 特性 一 个 最 有 趣 的 地 方 是 ， 在 连接 恢复 时 ， 浏 览 器 系统 能 够 自动 升 
级 本 地 系统 中 的 文件 ， 并 将 所 有 离线 的 变化 存 回 服 务 器 。 这 样 ， 当 系统 
离线 时 ， 组 存 清单 中 引用 的 文件 也 可 以 保持 为 最 新 状态 ， 而 且 客 户 端 能 
nn 
改 。 

19.6.2 HTML5 绘 图 

Intermnet 用 户 已 经 很 习惯 看 到 照片 和 图 表 艇 入 到 网 页 中 的 图 像 文 件 ， 
这 种 其 入 图 形 图 像 的 技术 极 大 地 增强 了 网 络 的 性 能 和 美观 。 然 而 ，Web 
设计 人 员 和 开发 人 员 和 希望 页 面 中 能 包含 更 多 的 东西 ， 比 如 通过 编程 来 绘 
制 会 图 形 ， 或 者 是 创建 一 个 小 动画 ， 当 用 户 观 看 时 ， 该 动画 将 会 向 用 户 
播放 。 以 前 的 HTML 版 本 通过 第 三 方 的 插件 工具 (比如 Adobe Flash) 提 














供 了 该 功能 。 

HTML5 通过 一 对 重要 的 新 元 素 推 出 了 它 自己 的 绘制 功能 ， 这 一 对 
元 素 是 : 用 于 位 图 图 像 的 <cavas> 元 素 和 用 于 标量 矢量 图 形 (Scalar 
Vector Graphics，SVG) 图 像 的 <svg> 元 素 。 

<cavas> 元 系 简 单 定义 了 一 块 用 作 绘 图 表面 的 屏 磊 区 域 : 

<cavas id=”piecturel” width=”350” height=”250”></cavas> 

随后 ，Web 开 发 人 员 可 以 使 用 JavaScript 中 的 绘制 命令 在 这 个 “画布 

《cavas) ”上 进行 绘图 。 该 定义 中 使 用 的 D 创 建 了 一 个 标识 符 ， 用 于 将 

JavaScript 与 画布 定义 的 定义 关联 起 来 (通过 文档 对 象 模型 (Document 
Object Model，DOM) 的 定义 来 实现 ，DOM 被 Web 程 序 员 用 来 管理 网 站 
中 的 对 象 ) 。 

每 一 个 页 面 可 以 有 多 个 画布 ， 甚 至 可 以 同时 包含 画布 元 素 与 传统 图 

















和 。 





标量 图 形 (scalar graphics) 是 使 用 形状 、 线 条 和 其 他 几何 元 素 〈 而 
不 是 网 格 中 的 点 ) 来 绘图 的 一 种 方法 。HTML5 通 过 <svg> 元 素 提 供 了 标 
量 图 形 。 由 于 标量 图 形 图 像 是 使 用 形状 和 其 他 预 完 定义 的 元 素来 绘制 
的 ， 因 此 Web 开 发 人 员 和 浏览 器 厂商 需要 为 这 些 形状 以 及 影响 形状 和 方 
癌 的 参数 ， 设 置 一 组 公有 的 定义 。 

<svg> 标 记 需 要 指 同 一 个 XML 名 称 空间 ， 该 名 称 空 点 定义 了 绘图 是 
使 用 的 图 形 元 素 。 万 维 网 联盟 (CW3C) 在 http://www.w3.org/2000/svg 上 
定义 了 它 自 己 的 名 称 空间 ， 以 供 HTML 标 量 图 形 参考 之 用 : 

<svg xmlns=”http://www.w3.0rg/2000/svg></svg> 

与 图 形 相 关 的 形状 、 大 小 、 颜 色 和 方 问 等 信息 ， 都 可 以 防止 在 
<SVg> 元 素 的 括号 之 内 。 更 多 信息 ， 请 访问 万 维 网 联盟 的 标量 矢量 图 形 
页 面 : http://www.w3.org/Graphics/SVG/。 

19.6.3 HTML5 嵌 入 式 音频 和 视频 

舱 入 式 视 频 在 Web 上 越 来 越 火 。 在 网 上 冲浪 时 ， 如 果 单 击 某 个 视频 
链接 ， 则 会 打开 一 个 类 似 于 电视 的 小 窗口 ， 用 来 播放 视频 。 

尽管 视频 如 今 在 网 站 上 无 处 不 在 ， 但 是 视频 支持 通常 都 是 通过 第 三 
方 工具 (比如 Flash 或 QuickTime) 来 实现 的 。 在 HTML5 之 前 ， 标 准 的 
Web 规 范 并 不 支持 散 入 式 视 频 。 

HTML5 推 出 了 一 个 新 的 <video> 元 素 ， 用 于 通知 浏览 器 ;使 用 该 标 
记 引 用 的 文件 是 一 个 视频 文件 。 与 此 同时 ，HTML5 对 引用 的 音 视频 编 
解码 器 也 提供 了 直接 文 持 ( 编 解码 器 主要 是 提供 解码 多 媒体 文件 的 方 
法 ) 。 如 果 浏 览 器 知道 该 文件 是 视频 文件 ， 它 就 可 以 访问 必要 的 编 解码 
器 来 播放 该 文件 ， 而 且 整 个 过 程 可 以 通过 浏览 器 目 映 来 完成 ， 而 不 需要 








额外 的 第 三 方 应 用 程序 。 

人 们 相信 ，HTML5 内 置 的 视频 特性 终 有 一 天 会 让 类 似 于 Flash( 当 
前 很 多 在 线 动画 ， 以 及 像 YouTube 这 样 的 视频 网 站 使 用 的 就 是 Flash)〉 这 
样 的 工具 消失 。 

19.6.4 HTML5 地 理 定 位 


全 球 GPS 卫 星系 统 可 以 让 GPS 电 子 设 备 确定 它 在 标准 地 理 坐 标 中 的 
当前 位 置 。 使 用 GPS 设备 的 旅客 可 以 对 他 们 的 位 置 进行 跟踪 。 在 工业 
界 ，GPS 工 具 的 使 用 非常 普遍 ， 中 央 调 度 系统 可 以 绘制 出 送 货车 和 出 租 
车 的 活动 轨迹 。 而 且 地 理 定位 功能 也 内 置 在 大 多 数 移动 手机 中 ， 终 端 用 
户 已 经 很 习惯 基于 手机 设备 中 内 置 的 GPS 功能 提供 的 位 置 数据 ， 然 后 利 
用 移动 应 用 程序 来 确定 距离 最 近 的 咖啡 店 或 饭馆 。 

HTML5 的 地 理 定 位 API 提供 了 一 种 标准 的 方法 ， 让 应 用 程序 查询 
设备 ， 以 获得 地 理 位 置 的 数据 。 程 序 员 可 以 使 用 地 理 定位 API 来 确定 设 
备 的 位 置 ， 而 且 可 以 处 理 其 他 地 理 定 位 数据 ， 以 映射 到 坐标 系 中 或 查找 
去 往 附近 服务 的 路 径 。 


19.6.5 HTML5 话 义 


HTML5 定 义 了 一 些 语义 概念 ， 而 且 这 些 概念 已 经 在 Internet 社 区 中 
得 以 应 用 ( 见 本 章 前 面 的 “说 义 Web” 一 节 ) 。HTML5 通 过 一 系列 预先 定 
义 的 HIML 元 素来 使 用 语义 ， 这 一 系列 原 图 提供 了 文本 的 含义 〈 见 表 
19.1) 。 用 户 可 以 使 用 这 些 元 素来 标记 用 于 特定 目的 的 文本 。 

注意 ， 与 语义 Web 有 关 的 趣事 是 ， 你 不 需要 确切 地 知道 用 户 或 应 用 
程序 为 什么 需要 这 些 信息 。 文 本 的 合 义 是 编码 到 页 面 中 的 ， 页 面 访客 可 
以 确定 如 何 显示 或 解释 这 些 信息 。 


























元 素 描 述 

<article> 表示 文档 、 页 面 或 应 用 程序 中 独立 的 、 完 整 的 、 可 以 独自 被 外 部 引用 的 内 容 

i 用 来 表示 当前 页 面 或 文章 的 附属 信息 部 分 ， 它 可 以 包含 与 当前 页 面 或 主要 内 容 相 关 的 引 
只 用 、 侧 边栏 广告、 导航 条 ， 以 及 其 他 类 似 的 有 别 于 主要 内 容 的 部 分 

<footer> 与 区 块 相关 的 基本 信息 ， 比 如 作者 名 字 和 相关 链接 

<header> 介绍 信息 和 导航 信息 ， 比 如 一 个 表 的 内 容 

<hgroup> 将 标题 及 其 子 标题 进行 分 组 的 元 素 

<mark> 为 了 进行 参考 而 标记 的 文本 

<nav> 可 以 用 作 页 面 导 航 的 链接 组 ， 其 中 的 导航 元 素 链接 到 其 他 页 面 或 当前 页 面 的 其 他 部 分 
<section> 对 网 站 或 应 用 程序 中 页 面 上 的 内 容 进 行 分 块 


<time> 引用 日 期 或 时 间 


表 19.1 HTML5 语 义 元 素 


HTML5 规范 中 包含 的 另外 一 个 重要 的 语义 概念 是 微 数据 。 微 数据 
是 本 章 前 面 讲解 的 微 格 式 概念 的 扩展 。 微 数据 特性 可 以 让 用 户 构建 专业 
词汇 ， 从 而 为 文本 字符 串 分 配 含义 。 与 重要 主题 (比如 人 员 、 事 件 、 组 
织 ) 相关 的 一 些 基 本 词汇 之 前 已 经 定义 〈 见 http:/data- 
vacabulary.org) 。 你 还 可 以 创建 自己 的 微 数据 词汇 ， 然 后 将 数据 源 用 作 
HTML 内 的 URL。 

与 微 格式 相同 ， 微 数据 也 才 采 取 一 系列 名 称 / 值 对 的 形式 。 微 数据 
开发 背后 的 一 个 驱动 力 来 自 于 搜索 引擎 业界 。 例 如 ，Google 一 直 在 参与 
标准 草案 的 制定 和 微 数据 词汇 的 定义 。 它 们 相信 ， 微 数据 的 广泛 使 用 将 
会 为 它们 的 搜索 算法 提供 额外 的 信息 ， 从 而 帮助 它们 得 出 更 好 的 结果 。 


19.7 小 结 


本 章 摘 述 了 新 Web 的 一 些 工 具 和 技术 。 你 学 习 了 博客 、 维 基 和 社交 
网 站 是 如 何 使 用 像 数 据 库 和 动态 HTML 这 样 的 组 件 的 ， 以 及 XHTML 是 
如 何 通 过 统一 的 XML 模 式 提 供 HTML 功 能 的 。 本 章 还 介绍 了 对 等 连 网 、 
消息 收 友 服务 和 语义 Web。 


19.8 问 与 答 


问 : 为 什么 使 用 维基 而 不 使 用 传统 的 网 站 ? 

答 : 维基 易于 扩展 和 修改 ， 而 且 它 支持 协同 作业 。 许 多 维基 都 有 内 
置 的 版 本 控制 系统 ， 可 以 用 于 跟踪 不 同 用 户 的 修订 。 

问 : 分 派 给 IRC 的 熟知 端口 号 是 多 少 ? 

答 : 端口 194。 

问 : 为 什么 有 些 IRC 聊 天 服务 器 使 用 更 高 的 端口 号 ? 

答 : 在 大 多 数 UNIX/Linux 系 统 中 ， 使 用 端口 号 低 于 1024 来 运行 的 
程序 都 具有 root 权 限 。 通 过 使 用 一 个 较 高 的 端口 号 ， 可 以 允许 更 加 严格 
的 安全 环境 。 注 意 ， 在 如 今 的 网 络 中 ， 这 是 一 种 相当 有 限 的 安全 措施 。 
尽管 它 无 法 取代 完整 的 安全 系统 ， 但 是 它 为 入 侵 者 提供 了 额外 的 障碍 ， 
而 且 当 私有 的 聊天 组 不 希望 有 外 部 连接 时 ， 这 可 以 让 通道 难以 接 入 该 聊 
天 组 

问 : 为 语义 Web 进 行 编码 的 优势 是 什么 ? 

答 : 语义 信息 可 以 让 搜索 引擎 和 其 他 工具 解释 更 为 复杂 的 数据 。 


19.9 测验 

















下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 下 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 由 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问 题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 

19.9.1 问题 

1. 为 什么 通常 使 用 Web 浏 览 器 来 访问 CMS 工 具 ? 

2. 对 等 网 络 的 显著 特征 是 什么 ? 

3. RDF 三 元 组 的 三 个 组 成 部 分 是 什么 ? 

4. 为 什么 有 些 专 家 觉得 Adobe Flash 以 及 类 似 的 工具 在 接 下 来 的 几 
年 会 丧失 影响 力 ? 

19.9.2 练习 

1. 访问 http:/www.microformats.org 站 点 。 在 网 站 顶部 的 菜单 中 ， 
单 击 code&tools。 当 进入 code&tools 页 面 时 ， 选 择 hCard creator。 它 可 
以 让 你 交互 式 地 生成 用 于 在 线 名 片 的 微 格式 代码 。 在 左 侧 的 表格 中 输入 
名 片 信息 ， 微 格式 代码 将 会 出 现在 右 侧 的 框 中 。 仔 细 审 视 代 码 ， 以 进 一 
步 理 解 微 格式 。 通 过 code&tools 页 面 ， 你 也 可 以 了 解 其 他 微 格 式 类 型 ， 
比如 hCalendar 或 hReview 微 格式 。 

2. 浏览 http://www.html5.com。 该 站 点 可 以 根据 你 的 浏览 器 对 
HTML5 的 支持 程度 进行 打分 。 深 动 页 面 到 子 项 得 分 区 域 ， 查 看 你 的 浏 
览 右 对 不 同 HTML5 特 性 的 支持 程度 的 得 分 。 


19.10 关键 术语 


复习 下 列 关 键 术 语 : 
本 博客 : 一 种 在 垂直 滚动 消息 队列 中 张贴 定期 更 新 条 目 或 新 条 目 
人 [YE 。 

> 内 容 管理 系统 (CMS ) : 一 款 基 于 GUI 的 工具 ， 它 为 构建 和 管 
理 站 点 提供 了 一 个 易于 使 用 的 界面 。 

> 地 理 定位 : 在 地 球 上 确定 地 理 位 置 的 行为 ， 通 常 时 使 用 类 似 于 
GPS 的 电子 设备 或 手机 来 实现 的 。 

> 即时 通信 (IM) : 一 种 实时 消息 收发 技术 。 

> Internet 中 继 聊天 〈IRC) : 一 种 用 于 实时 文本 消息 收发 的 协议 
和 网 络 服务 。 

> 微 数据 : HTML5 内 微 格式 概念 的 一 种 实现 。 

> 微 格式 : HTML 文 档 内 的 一 种 语义 结构 ， 它 定义 了 一 个 文本 块 




















《比如 一 张 名 片 或 一 份 处 方 ) 的 用 途 ， 并 且 将 数据 部 分 “比如 地 址 或 成 
分 ) 标记 为 一 些 列 名 称 / 值 对 。 

> 对 等 连 网 (P2P) : 一 种 为 了 共享 文件 而 在 Intemet 用 户 之 间 建 
立 直 接连 接 的 系统 。 

> 资源 描述 框架 (RDP) : 一 种 语义 Web 框 架 。 

> 语义 Web: 一 组 提供 有 关 Web 数 据 含义 的 信息 的 技术 。 

> 社交 网 站 : 几 种 支持 博客 编号、 消息 收发 以 及 其 他 个 人 网 站 活 
动 的 服务 之 一 。 

> Web 2.0: 一 个 反映 交互 式 Web 新 形式 的 工具 集 。 

> 维基 : 一 种 可 以 轻松 编辑 的 交互 式 网 站 ， 用 于 支持 协同 工作 。 

> WYSIWYG (所 见 即 所 得 ) : 一 种 可 以 像 将 在 用 户 面前 呈现 的 
那样 显示 页 面 的 编辑 工具 。 

> XHTML: 一 种 通过 XML 模式 的 HTML 表 达 方 式 。 

> XMPP 〈 可 扩展 消息 处 理 现 场 协议 ) : 一 种 采用 Jabber 消 息 收 发 
技术 的 开源 消息 收发 协议 。 
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第 20 章 Web 服 务 


本 章 介 绍 如 下 内 容 : 
> Web 服 务 ; 
> XML; 
> SOAP:; 
> WSDL; 
> REST:; 
> Web 交易 。 
Web 技 术 已 经 在 软件 开发 领域 引领 了 一 场 新 的 革命 。Web 服 务 架 构 
人 允许 程序 员 利 用 Web 工 具 ， 完 成 HTML 创 建 者 从 未 预想 到 过 的 复杂 任 
务 。 本 章 将 讲解 Web 服 务 基础 结构 ， 并 将 帮助 读者 快速 浏览 一 下 电子 商 
务 网 站 处 理 Web 交 易 的 方式 。 
学 完 本 章 后 ， 你 可 以 : 
> 讨论 Web 服 务 架 构 ; 
> 理解 XML、SOAP、WSDL 和 REST 在 Web 服 务 范 例 (paradigm) 
中 的 作用 ; 


> 描述 电子 商务 网 站 是 如 何 处 理 货 币 交 易 的 。 
20.1 理解 Web 服 务 





当前 ， 几 乎 每 一 台 计算 机 都 带 有 Web 浏 览 器 ， 而 且 Web 服 务 器 也 已 
家 喻 户 晓 ， 空 想 家 和 软件 开发 商 们 已 很 难 发 明 出 新 的 方式 来 使 用 Web 工 
具 。 在 过 去 ， 程 序 员 想 要 编写 网 络 应 用 程序 ， 必 须 为 用 来 交换 信息 的 屠 
两 个 应 用 程序 创建 自 定义 的 服务 器 程序 、 自 定义 的 客户 端 程序 和 自 定义 
的 语法 或 格式 。 编 写 这 整个 软件 ， 需 要 耗费 大 量 的 时 间 和 精力 ， 但 是 随 








着 计算 机 网 络 的 日 益 重 要 ， 数 据 集 成 和 集中 管理 的 目标 推动 了 对 客户 
端 /服务 器 应 用 程序 的 需求 。 网 络 程序 接口 当然 存在 ， 和 否则 本 书 中 所 摘 
述 的 许多 经 典 应 用 程序 束 不 会 得 到 发 展 了 ， 但 是 ， 网 络 程序 设计 通 各 在 
这 样 的 网 络 接口 处 需要 一 些 数量 巨大 且 价 格 昂贵 的 编码 。 

后 来 逐渐 出 现 的 一 种 比较 简单 的 解 诀 方案， 是 以 现 有 的 Web 工 具 、 
技术 和 协议 为 基础 ， 来 创建 自 定 义 的 网 络 应 用 程序 。 这 种 方法 束 是 Web 
服务 架构 ， 大 型 公司 (比如 IBM 和 Microsoft 等 公司 ) 以 及 世界 各 地 的 开 
源 拥护 者 和 开发 工具 厂商 们 都 支持 它 。 

Web 服 务 架 构 的 理念 是 ，Web 浏 览 器 、Web 服 务 器 和 TCP/IP 协 议 栈 
处 理 连 网 的 细节 ， 从 而 程序 员 束 可 以 专注 于 应 用 程序 的 细节 。 最 近 几 
年 ， 这 项 技术 已 经 发 展 到 远 不 再 是 Web 作 为 全 球 性 Internet 一 种 表现 形式 
的 最 初版 本 了 。 这 一 Web 服 务 架 构 现 在 已 被 当 作 构建 各 类 网 络 应 用 程序 
的 一 种 方法 ， 而 不 管 相应 的 应 用 程序 是 否 实际 连接 到 Internet。 大 型 实力 
。 商 已 经 在 构建 组 件 基 础 结构 来 文 持 这 一 Web 服 务 方面 投入 了 大 
量 的 资源 。 

HTTP 传 输 系 统 只 是 我 们 所 知道 的 Web 服 务 的 一 部 分 。 同 样 重要 的 
是 组 件 架 构 的 交付 ， 它 们 提供 现成 的 类 、 函 数 和 程序 设计 接口 ， 用 于 基 
于 Web 环 境内 的 工作 。 

Web 服 务 应 用 程序 通常 用 于 这 样 的 情况 : 要 求 有 一 个 简单 的 客户 端 
连接 到 维护 库存 清单 或 处 理 订 单 的 服务 器 。 例 如 ， 某 家 制造 企业 就 可 能 
会 使 用 一 个 Web 服 务 程序 来 安排 订单 、 跟 中 交付 情况 和 维护 有 关 库 存 内 
容 的 最 新 信息 。 

几乎 所 有 大 型 公司 都 需要 跟踪 固定 设备 、 订 单 和 库存 清单 的 软件 。 
、 可 以 很 好 地 把 完全 不 同 的 服务 和 业务 聚合 在 一 个 统一 的 环 
卉 中 。 

图 20.1 显 示 的 是 一 个 完整 的 web 服务 场景 。 在 前 端 〈 图 20.1 的 左 
侧 ) ， 程 序 员 可 以 利用 预先 存在 的 Web 基 础 设施 ， 处 理 数 据 传输 ， 并 通 
过 客户 端 计 算 机 上 的 Web 浏 览 器 应 用 程序 提供 用 户 界 面 。 在 后 端 ， 程 序 
员 依 靠 预先 存在 的 数据 存储 系统 〈 由 一 个 SQL 数据 库 提 供 ) 。 这 样 ， 程 
序 员 束 可 以 专注 于 图 20.1 的 中 间 部 分 ， 而 现成 的 Web 服 务 平 台 组 件 可 以 
更 进一步 简化 程序 设计 任务 。 
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图 20.1 Web 服 务 程序 设计 模型 


数据 以 一 种 标准 的 标记 格式 (通常 是 XML) 在 Web 服 务 系统 的 各 个 
组 件 之 间 传 输 。 但 是 ， 现 在 其 他 蔡 代 技术 (比如 JavaScript 对 象 表示 法 
[JavaScript Object Notation，JSON]) 也 开始 逐渐 流行 起 来 。 

XML 是 一 种 高 效 且 通用 的 方法 ， 用 于 为 属性 赋值 。 强 大 的 Web 服 务 
范例 已 经 带 来 了 很 多 创新 和 发 展 。 专 家 们 很 快 就 认识 到 ， 如 果 系 统 可 以 
使 用 XML 格式 在 网 络 上 实际 调用 服务 或 生成 啊 应 ， 那 么 它们 将 会 表现 
得 更 棒 。 简 单 对 象 访问 协议 (Simple Object Access Protocol， SOAP ) 
提供 了 一 种 标准 的 方法 ， 用 于 在 Web 服 务 进程 之 间 传 输 基 于 XML 的 数 
据 。SOAP 同 时 还 描述 如 何 利用 XML 和 HTTP 来 调用 远程 过 程 。 本 章 
后 面 会 讲 到 ，SOAP 消息 在 通过 Web 服 务 描述 语言 (Web Services 
Description Language，WSDL ) 定义 的 网 络 服务 之 间 传 递 。 

其 他 专家 提倡 另外 一 种 回归 本 源 的 方法 〈back-to-basics 
approach) ， 这 是 一 种 精心 设计 的 系统 ， 可 以 通过 标准 的 HTTP 命令 来 操 
作 。 表 述 性 状态 转移 〈Representational State Transfer， REST) 架构 反 
映 了 这 种 简化 设计 的 重点 。 











20.2 XML 


用 户 、 软 件 广 商 和 Web 设 计 人 员 习 惯 HTML 之 后 ， 他 们 就 开始 提出 
了 更 高 的 要 求 。 随 着 服务 器 端 和 客户 端 程序 设计 技术 的 发 展 ， 许 多 专家 
都 想 知 道 ， 是 否 能 有 一 种 方式 来 扩展 呆板 的 HTML 标 记 系 统 。 他 们 的 目 
标 是 ， 突 破 标记 语言 作为 一 种 格式 化 文本 和 图 形 的 手段 的 概念 ， 而 将 该 
语言 只 用 作 一 种 传输 数据 的 手段 。 这 一 讨论 的 结果 ， 就 是 一 种 新 的 被 称 
为 可 扩展 标记 语言 (XML ) 的 标记 语言 。 

HTML 数据 的 含义 和 上 下 层 关 系 被 限制 在 你 可 以 使 用 一 组 预定 义 的 
HTML 标记 上 所 能 表示 的 范围 内 。 如 果 数 据 被 封装 在 <H1> 标 记 内 ， 则 被 认 
为 是 一 个 标题 。 如 果 数 据 被 封装 在 <A> 标 记 内 ， 则 被 认为 是 一 个 链接 。 
而 XML 则 从 另 一 个 角度 出 发 ， 允 许 用 户 定义 他 们 目 己 的 元 素 。 数 据 可 
以 表示 你 希望 它 表 示 的 任何 意思 ， 而 且 你 可 以 创造 出 准备 用 来 标识 数据 
的 标记 。 例 如 ， 如 果 你 关注 赛马 ， 则 可 以 利用 有 关 你 所 剖 爱 的 马匹 的 信 
息 ， 创 建 一 个 XML 文件 。 该 文件 可 以 包含 这 样 的 条 日 : 

<horses> 

<horse_name="winky" breed="Thoroughbred"> 

<sex="male" /> 

<age="3" /> 

</horse> 

<horse_name="Goddess" breed="Arabian"> 

<sex="female" /> 

<age="3" /> 

</horse> 

<horse_name=""Gecko" breed="Uncertain"> 

<sex="male" /> 

<age="14" /> 

</horse> 

</horses> 

XML 格 式 看 上 去 与 HTML 有 点 相像 ， 但 是 它 当 然 不 是 HTML〔 你 能 
想象 如 果 你 试图 把 <horse_name> 用 作 一 个 HTML 标 记 ， 你 的 浏览 右 会 变 
得 慢 到 什么 程度 吗 ) 。 在 XML 中 ， 你 可 以 使 用 希望 使 用 的 任何 标记 ， 
因为 你 并 不 像 web 浏 览 器 那样 为 某 些 严格 预定 义 的 特定 应 用 程序 准备 数 
据 。 数 据 束 是 数据 。 这 里 的 理念 是 ， 不 管 是 谁 创建 了 当前 文件 的 结构 ， 
他 各 后 会 来 创建 一 个 应 用 程序 或 样式 表 读 取 该 文件 ， 并 理解 其 中 数据 的 


一 个 独立 的 文档 包含 XML 模式 (schema) (用 来 格式 化 和 解释 

















吴 


XML 数据 的 路 标 ) 。 模 式 文档 的 出 现 使 得 人 们 可 以 轻松 得 验证 XML 数 
据 的 有 效 性 ， 而 且 还 可 以 轻松 创建 能 够 分 析 和 处 理 XML 数 据 的 新 的 客 
户 端 应 用 程序 。 

XML 是 一 种 功能 非常 强大 的 工具 ， 用 于 在 应 用 程序 之 间 传 递 数 
据 。 脚 本 或 自 编 应 用 程序 很 容易 创建 XML 作为 输出 ， 或 者 是 把 XML 
作为 输入 进行 读 入 。 尺 管 浏览 器 不 能 直接 阅读 XML， 但 是 XML 在 Web 
上 的 应 用 仍然 十 分 广泛 。 在 某 些 情况 下 ，XML 数 据 在 服务 器 端 生成 ， 
然后 在 传输 给 浏览 器 之 前 转换 为 便于 显示 的 HIML。 另 一 种 技巧 是 提供 
一 个 称 为 层 共 式 样式 表 (Cascading Style Sheet，CSS) 的 附带 文件 ， 告 
知 如 何 解释 和 显示 XML 数据 。 然 而 ，XML 并 不 限于 Web 应 用 。 程 序 员 
们 正 将 XML 用 于 要 求 一 种 简便 格式 来 为 属性 赋值 的 其 他 语 境 。 

XML 现在 已 远 不 止 于 作为 一 种 普通 的 Web 格 式 用 来 存储 和 传输 数 
据 。 只 要 编写 XML 数 据 的 应 用 程序 和 读 取 相应 数据 的 应 用 程序 在 元 素 
的 含义 方面 达成 一 臻 ， 数 据 束 可 以 借助 XML 奇 迹 般 的 特性 ， 在 这 两 个 
应 用 程序 之 间 轻 松 并 且 经 济 地 传递 了 。 

注意 : 模式 

术语 “模式 ”有 时 会 与 用 来 提供 XML 架构 的 大 量 模 式 语 言 一 并 使 用 。 
W3C 也 提供 了 一 份 称 为 XML 模式 语言 的 正式 规范 ， 它 可 以 用 来 创建 兼 
容 W3C 的 XML 模式 文档 (XML Schema Document，XSD) 模式 文件 ， 
该 文件 的 扩展 名 为 .xsd。 


20.3 SOAP 


XML 定义 了 一 种 用 来 交换 应 用 程序 数据 的 通用 格式 。 然 而 ， 这 种 
通用 的 XML 规范 尚 不 足以 单独 为 开发 人 员 提 供 创建 易于 使 用 的 一 流 Web 
服务 所 需 的 基础 结构 。 尽 管 XMIL 为 读 写 程 序数 据 提 供 了 一 种 高 效 的 格 
式 ， 但 是 它 本 身 并 没有 为 构建 和 解释 相应 的 数据 提供 标准 格式 。SOAP 
规范 则 充当 了 这 个 角色 。 它 是 一 种 标准 协议 ， 用 来 交换 在 web 服务 客户 
端 和 服务 器 之 间 传 递 的 基于 XML 的 消息 。 

SOAP 用 来 文 持 所 谓 的 SOAP 节 点 之 间 的 通信 (SOAP 节 点 主要 是 支 
持 SOAP 的 计算 机 或 者 是 应 用 程序 ) 。SOAP 规 范 定义 了 从 SOAP 发 送 者 
传递 到 SOAP 接 收 者 的 消息 结构 。 沿 途 ， 该 消息 可 能 会 经 过 以 某 种 方式 
处 理 其 中 信息 的 中 间 节 点 〈 见 图 20.2) 。 中 间 节 点 可 能 会 提供 日 志 记 录 
功能 ， 也 可 能 会 在 所 传递 的 消息 一 路 到 达 其 最 终 目的 地 的 过 程 中 以 某 种 
方式 修改 它 。 

从 概念 上 来 讲 ， 来 自 客户 端的 一 条 SOAP 消息 会 说 : “这 是 某 种 输 
入 。 处 理 这 个 ， 并 将 输出 发 送 给 我 ?。 应 用 程序 的 功能 衍生 自 一 连 串 这 



























































种 基于 XML 的 SOAP 消 息 ， 发 送 端 和 接收 端 在 其 中 发 送信 息 和 接收 啊 

应 。SOAP 消息 的 正规 结构 使 得 软件 开发 人 员 能 够 轻松 创建 基于 SOAP 
的 客户 端 应 用 程序 ， 与 服务 器 进行 相互 。 例 如 ， 一 家 通过 基于 Web 的 服 
务 器 应 用 程序 提供 汽车 租赁 预约 的 租赁 公司 ， 可 以 轻松 地 为 开发 人 员 提 
ee 
山 约 汽车 。 

SOAP 消息 的 结构 由 一 个 可 选 的 报头 和 消息 主体 组 成 。 报 头 包 含 标 
注 、 定 义 以 及 将 被 消息 沿途 任意 节点 使 用 的 元 消息 。 消 息 主 体 包 括 打 算 
供 访 消息 接收 者 所 使 用 的 数据 。 例 如 ， 在 前 面 的 汽车 预约 服务 中 ， 消 息 
主体 就 可 能 包含 来 自 客 户 端的 数据 ， 摘 述 客户 想 要 租借 的 汽车 ， 以 及 该 
车 必须 可 以 使 用 的 日 期 。 








中 间 节 点 


基于 XML 的 
SOAP 消息 





SOAP 响应 
图 20.2 SOAP 消息 从 发 送 者 传递 到 接收 者 可 能 会 经过 中 间 节 点 
20.4 WSDL 


Web 服 务 描述 语言 (Web Services Description Language, WSDL) 
提供 一 种 XML 格 式 ， 用 于 描述 与 Web 服 务 应 用 程序 相关 的 服务 。 根 据 
W3C 的 WSDL 规 范 ,，“WSDL 是 一 种 用 于 描述 网 络 服务 的 XML 格 式 ， 它 


将 网 络 服务 描述 为 一 组 能 对 包含 面向 文档 信息 或 面向 过 程 信息 的 消息 进 
行 操作 的 端点 (endpoint) 。”WSDL 是 一 种 用 来 定义 通过 SOAP 消 息 交 
换 信息 的 服务 的 格式 。 

WSDL 文 档 主要 是 一 组 定义 。 文 档 中 的 那些 定义 指定 了 有 关 被 传输 
i a 以 及 与 相应 服务 和 服务 位 置 相 关 的 

WSDL 并 不 限于 SOAP， 也 可 以 和 其 他 Web 服务 通信 协议 一 同 使 
用 。 在 某 些 情况 下 ， WSDL 直 接 与 HITP 一 同 使 用 ， 以 便 简 化 设计 ， 并 
在 HITP 核 心 处 将 动作 限定 为 更 加 基础 的 GET 和 了 POST 样式 操作 。 


20.5 Web 服 务 协议 栈 


有 了 XML、SOAP、WSDL 以 及 TCP/IP 和 Web 服 务 框 架 的 基础 组 
件 ， 开 发 人 员 就 可 以 轻松 地 创建 出 大 小 适度 旦 简单 易 民 的 客户 端 和 服务 
器 应 用 程序 ， 通 过 Web 界 面 进行 通信 。 类 似 TCP/IP 本 喘 ，Web 服 务 环 境 
也 是 由 一 堆 组 件 组 成 。 主 要 软件 三 商都 有 他 们 自己 的 Web 服 务 协议 栈 ， 
供 客 户 使 用 。 完 整 的 系统 包括 服务 器 软件 、 开 发 人 员工 具 其 至 提供 给 客 
户 的 计算 机 硬件， 连同 咨询 服务 以 及 有 时 包括 的 定制 应 用 程序 一 起 。 

Linux 广 商 和 开发 人 员 经 常 谈论 LAMP 协 议 栈 ， 那 是 一 个 开源 组 件 
集 ， 可 以 轻松 地 针对 Web 服 务 环境 进行 修改 。LAMP， 这 个 著名 的 首 字 
母 缩写 词 ， 清 楚 地 说 明了 该 协议 栈 的 主要 组 成 部 分 。 
> Linux: 一 种 支持 服务 器 应 用 程序 在 服务 占 系 统 上 运行 的 操作 系 

> Apache: 一 种 提供 基于 XML 的 SOAP 消 息 的 Web 服 务 器 。 

> MySQL: 一 种 提供 对 后 端 数 据 服 务 访问 的 数据 库 系统 。 

> PHP (或 者 是 Perl 或 Python) : 一 种 用 于 Web 的 程序 设计 语 
言 ， 用 来 编码 自 定 义 Web 服 务 应 用 程序 的 细节 。 

所 有 的 Web 服 务 基础 结构 均 提 供 相 似 的 特性 。Java 程 序 设 计 语 言 经 
常 与 Web 服 务 一 同 使 用 ， 不 只 是 Oracle/Sun 公 司 〈Java 的 创作 者 ) 如 此 ， 
IBM 公 司 的 WebSphere 和 其 他 系统 中 也 经 常 这样 。Microsoft 公 司 通 
过 .NET 框 架 的 工具 提供 与 Java 相 当 的 功能 。 


20.6 REST 
强大 的 XML 和 客户 端 /服务 器 模型 导致 各 种 共享 请 求 和 传输 数据 的 


应 用 程序 层出不穷 ， 从 而 使 得 自 定 义 的 服务 器 能 够 为 自 定 义 的 客户 端 传 
递 任何 格式 的 目 定 义 信 息 。 但 是 ， 当 开发 人 员 开 始 构建 Web 服 务 应 用 程 


























序 时 ， 他 们 发 现 客户 端 和 服务 器 之 间 存 在 的 那 种 复杂 而 且 高 度 专业 化 的 
非 标 准 交 互 会 产生 大 量 问 题 。 例 如 ， 开 发 人 员 很 难 编写 出 那 种 必须 具备 
服务 器 相关 的 方法 和 结构 等 专业 知识 的 客户 端 应 用 程序 (而 且 开 发 人 员 
也 很 难 将 其 移植 到 其 他 平台 ，。 从 男 一 方面 来 说 ， 服 务 器 必须 通过 一 系 
列 状态 的 变化 ， 才 能 与 客户 端 进行 复 淋 的 多 级 交互 ， 而 且 这 些 状态 的 变 
化 可 能 会 导致 并 及 问题 和 意料 之 外 的 问题 。 近 年 来 ， 开 发 人 员 已 经 选 定 
了 一 个 名 为 表述 性 状态 转移 (REST) 的 设计 理念 来 解决 这 些 问 题 。 

REST 实 际 上 是 在 HTTP 1.1 的 时 代 开 发 出 来 的 。REST 的 概念 于 2000 
年 由 Roy Fielding 在 他 的 博士 论文 “架构 风格 与 基于 网 络 的 软件 架构 设计 
(Architectural Styles and the Design of Network-based Software 
Architectures) ”中 首次 定义 。 在 近年 来 ，REST 日 渐 流 行 ， 现 在 已 经 成 
人 程序 和 几 王 个 世界 级 的 大 流量 网 站 中 使 用 的 
主导 原则 。 

与 OAP 不 同 ，REST 自 号 并 不 是 一 种 协议 ， 它 是 一 种 用 来 创建 简 
单 、 整 洁 和 可 移植 的 基于 Web 的 应 用 程序 的 设计 理念 。REST 系 统 将 通 
信 过 程 归结 为 下 面 儿 个 基本 的 元 素 : 

> 资源 : 请 求 的 目标 〈 客 户 端 想 要 的 东西 ) 。 它 可 以 是 一 个 网 
页 、 一 个 数据 库 记 录 ， 也 可 以 是 其 他 编程 对 象 。 

> 资源 标识 符 : 一 个 对 资源 命名 的 URI。 

> 表示 : 来 目 服务 器 的 啊 应 ， 用 于 传输 精巧 的 〈finished) 格式 中 
的 资源 。 注 意 ， 资 源 没有 必要 存储 到 要 发 送 给 客户 端的 表 属 性 表格 
(representational form〉 中。 对 象 可 以 在 服务 器 端 动态 地 组 装 到 发 送 给 
客户 站 的 表 属 性 表格 中 ，。 

注意 : 元 数据 

除了 主要 的 REST 元 素 〈 资 源 、 资 源 标识 符 和 表示 ) 之 外 ， 还 有 很 
I 以 阐明 数据 的 
4 上 页。 

REST 系统 的 重要 组 成 部 分 是 ， 客 户 端 不 会 告诉 服务 器 去 做 什么 ， 
而 是 告诉 服务 器 “ 它 〈( 客 户 端 ) 想 要 什么 ”。REST 握 弃 了 传统 意义 上 的 
API〔 即 客户 端 调用 服务 器 上 的 进程 》。 相 反 ， 客 户 端 只 是 以 URI 的 形 
式 发 送 一 个 资源 标识 符 ， 以 指明 它 想 添加 、 查 看 或 者 修改 的 资源 ， 并 在 
URI 的 主体 内 提供 必要 的 信息 来 完成 该 请 求 。 

. 通过 一 个 基本 的 REST 请 求 来 指定 的 唯一 行为 是 一 个 标准 的 HTTP 方 
法 : 

> GET: 从 服务 器 获取 资源 。 

> PUT: 直接 创建 或 修改 资源 。 

POST: 问 服 务 需 提交 数据 ， 以 修改 资源 。 

















> HEAD: 获取 与 资源 相关 的 元 数据 。 

通过 将 可 用 的 方法 局 限 在 标准 的 HTTP 请求 (所 有 的 Web 程 序 员 都 
了 解 这 些 标准 的 HTTP 请 求 ， 而 且 这 些 请 求 都 可 用 于 所 有 的 Web 服 务 
器 ) 中 ， 可 以 进一步 简化 REST 系 统 ， 并 确保 可 移植 性 。 

POST 和 PUT 命令 之 间 的 区 别 值得 我 们 进行 思考 。PUT 将 蔡 换 整 
个 资源 内 容 ， 而 PUT 只 是 将 信息 提交 给 服务 器 ， 以 用 于 更 新 资源 ， 而 且 
不 会 假定 更 新 发 生 的 方式 〈 见 图 20.3) 。PUT 通 常 被 称 之 为 等 肾 的 
(idempotent) ， 也 束 是 说 ， 无 论 该 命令 执行 多 少 次 ， 相 同 的 行为 必定 
为 产生 相同 的 结果 。 而 POST 则 无 法 保证 这 样 的 结果 。 例 如 ，POST 命 
令 可 能 会 在 一 个 文档 的 末尾 添加 一 行文 本 ， 当 时 多 次 执行 该 命令 时 ， 其 
输出 每 次 都 不 相同 ， 因 为 你 每 执行 一 次 该 命令 ， 就 会 添加 一 行文 本 。 
REST 设 计 原 则 强调 尽 可 能 地 使 用 等 才 的 方法 ， 但 是 在 必要 的 情况 下 ， 
也 会 使 用 POST 方法 。 这 种 对 等 梭 操 作 的 强调 是 REST 系 统 的 一 个 定义 
的 特性 〈defining feature) 。 例 如 ， 基 于 SOAP 的 系统 往往 会 广泛 使 用 非 
等 需 的 POST 操作 ， 就 最 小 化 数据 传输 和 网 络 带 宽 而 言 ， 这 种 操作 方式 
的 效率 很 高 。 出 于 简洁 性 和 清晰 度 考虑 ，REST 进行 了 权威 性 的 声明 ， 
但 是 这 样 会 以 偶尔 牺牲 掉 边 际 性 能 优势 为 代价 。 
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图 20.3 HTTP 的 PUT 方法 更 新 整个 资源 ， 而 POST 方法 只 提供 更 新 所 需 
要 的 信息 ， 其 中 可 能 包括 添加 文本 或 修改 现 有 的 资源 








尽管 REST 服 务 有 时 支持 JSON 和 普通 的 HTML， 但 是 传输 到 服务 器 
的 数据 通常 是 XML 格式 的 。 理 想 情 况 下 ， 从 服务 器 返回 的 数据 位 于 表 
述 性 表单 中 ， 该 表单 通常 是 HTML 格 式 或 web 浏览 器 可 以 轻易 处 理 的 其 


他 格式 。 

读者 可 能 已 经 猜 到 ，REST 系 统 中 主要 关注 的 是 URI 的 结构 。URI 是 
分 层次 的 ， 而 且 指向 的 是 对 象 〈《 资 源 ) 。 当 然 ，URI 的 中 间 层 可 以 指 辐 
一 组 对 象 。 此 时 ，REST URI 的 结构 看 起 来 通 第 与 目录 路 径 的 结构 相 
似 ， 都 是 遍历 一 系列 更 精细 (ever-more granular) 的 容器 或 集合 ， 到 达 
位 于 字符 串 末 尾 的 记录 ID。 该 方法 似乎 是 显而易见 的 〈 因 为 URI 最 初 的 
目的 就 是 沿 着 一 条 目录 路 径 癌 下 ， 最 终 指 同一 个 文件 ) ， 但 是 这 种 回归 
本 源 的 方法 却 与 Web 服 务 模型 中 的 其 他 发 展 形成 鲜明 对 比 ， 在 后 者 中 ， 
URI 中 包含 复杂 的 命令 字符 串 ， 并 将 该 字符 串 发 送 给 服务 器 ， 以 获得 执 
行 











除了 提供 简洁 性 和 可 移植 性 之 外 ，REST 模型 还 提供 了 更 好 的 统一 
安全 措施 ， 因 为 它 屏 蔽 了 服务 器 中 的 所 有 的 服务 器 操作 ， 并 让 该 操作 远 
离 了 接口 。 另 外 一 种 通过 URI 将 命令 传输 给 服务 器 的 技术 ， 在 Web 服 务 
的 早期 很 常见 ， 它 属于 入 侵 技 术 的 一 种 ， 但 是 不 容易 穿 透 安全 而 且 设 计 
民 好 的 REST 系 统 。 因 此 ， 高 流量 的 站 点 《比如 Amazon、eBay 和 
YouTube) 使 用 REST 设 计 原 则 也 就 不 奇怪 了 。 

注意 : REST 风 格 

围绕 着 REST 范例 设计 的 网 站 、 服 务 或 开发 框架 都 是 具有 REST 风 
格 (RESTful) 的 。 





20.7 电子 商务 


电子 商务 站 点 不 必 按 照 本 章 前 面 所 描述 的 Web 服 务 范 例 来 实现 ;不 
过 ， 它 仍 有 可 能 使 用 茶 些 Web 服务 技术 ， 尤 其 是 在 后 器 。 对 于 应 用 程序 
和 组 件 ， 可 以 利用 Web 工具 组 合 在 一 起 的 方式 ， 电 子 商 务 就 是 一 种 态度 
鲜明 的 示例 。 

供 货 商 和 广告 商 早 就 开始 注意 到 ，Web 是 一 种 促使 人 们 购物 的 绝 好 
方式 。 众 所 周知 ， 许 多 网 站 看 上 去 就 像 是 又 长 义 复 杂 的 广告 。 不 去 管 那 
些 大 肆 宣 传 ， 它 们 已 足以 使 得 任何 人 都 不 相信 其 设计 的 有 效 性 ， 但 事实 
上 ，Web 仍 是 一 种 方便 并 且 划 算 的 购物 方式 。 供 货 商 不 必 再 通过 直接 邮 
寄 广 告 来 发 送 成 干 上 万 份 目录 ， 而 可 以 简单 地 把 产品 目录 张贴 到 Web 
上 ， 证 消费 者 通过 搜索 和 链接 来 找到 它 。 

在 供 货 商 解决 与 在 开放 式 的 Internet 上 发 送信 用 卡 信息 相关 的 安全 
问题 之 前 ，Web 上 的 购买 业务 其 实 并 没有 真正 开始 。 事 实 上 ， 没 有 那些 
安全 的 网 络 技术 ，Internet 销 售 其 至 不 会 成 为 可 能 。 目 前 ， 绝 大 多 数 浏览 
器 都 能 够 开辟 一 个 安全 的 通信 通道 ， 连 接 到 服务 器 。 这 种 安全 通道 使 得 
网 络 大 盗 无 法 饮 听 密码 或 信用 卡 信 息 。 






































图 20.4 显 示 的 是 一 个 典型 的 Web 交 易 场 景 ， 整 个 过 程 如 下 所 示 。 
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图 20.4 典型 的 Web 交易 场景 


1. 一 台 Web 服务 器 提供 一 个 可 以 从 Web 访问 的 在 线 产 品目 录 。 
一 名 用 户 通 过 Intermet 从 一 个 远程 位 置 浏览 这 些 产 品 信 息 。 
ee 4 

3. 服务 器 和 浏览 费 建 立 一 个 安全 的 连接 。 在 这 时 ， 济 览 融 有 时 会 
显示 一 则 消息 ， 内 容 类 似 “ 你 现在 正 进 入 一 个 安全 区 域 .…...”。 不 同 浏览 
器 有 不 同 的 方法 来 表示 这 是 一 个 安全 连接 。 

4. 在 上 述 连接 建立 之 后 ， 紧 接着 通常 会 是 东 种 形式 的 吴 份 验证 。 
在 绝 大 多 数 交 易 站 点 上 ， 购 物 者 会 与 供 货 商 确立 茶 种 形式 的 用 户 账户 。 
这 一 方面 是 出 于 安全 考虑 ， 一 方面 是 为 了 方便 (那样 用 户 束 可 以 跟 踩 购 




















买 的 状态 了 ) 。 用 户 账 户 信 息 同 时 使 得 供 贷 丙 能 够 跟踪 用 户 的 行为 ， 并 
将 用 户 的 个 人 信息 与 购买 历史 联系 在 一 起 。 这 个 登录 步骤 要 求 Web 服 务 
器 联系 某 种 后 端 数 据 库 服 务 器 ， 建 立 一 个 新 的 账户 或 者 是 检查 提交 的 证 
明 信 息 以 登录 某 个 现 有 账户 。 最 近 ， 另 外 一 种 方法 逐渐 流行 开 来 ， 它 可 
以 在 不 需要 登录 的 情况 下 ， 直 接 在 会 话 内 提供 信用 信息 。 

5. 在 用 户 登 录 之 后 ， 服 务 器 (或 者 是 在 服务 器 后 端 工 作 的 某 个 应 
用 程序 ) 必须 核实 信用 卡 信息 ， 并 且 与 某 一 信用 卡 权 力 机 构 登 记 相 应 的 
交易 。 通 常 ， 这 里 所 说 的 信用 卡 权 力 机 构 束 是 隶属 于 信用 卡 公司 的 一 个 
商业 服务 机 构 。 

6. 如 果 该 交易 被 认可 ， 购 买 和 投递 信息 的 通知 就 会 被 传输 到 供 货 
商 的 履行 部 门 ， 而 交易 应 用 程序 则 会 管理 用 户 确 认 的 此 次 购买 的 最 终 详 
细 资 料 ， 并 更 新 该 用 户 的 账户 资料 。 

操作 系统 厂商 (例如 Oracle、IBM 和 Microsoft 公司 ) 提供 交易 服 
务 器 应 用 程序 ， 来 帮助 完成 通过 Web 处 理 订 单 的 重要 任务 。 因 为 Web 
交易 非常 特殊 ， 而 且 因 为 它们 需要 有 一 个 接口 与 供 贷 商 网 络 上 的 现 有 应 
用 程序 交互 ， 所 以 应 用 程序 框架 通常 提供 专用 工具 来 帮助 完成 构建 交易 
基础 结构 的 任务 。 

请 注意 ， 图 20.4 在 交易 基础 结构 内 省 略 了 防火 墙 的 作用 。 大 型 商 
业 网 络 可 能 会 在 Web 服 务 器 之 后 包括 一 个 防火 墙 ， 保 护 其 网 络 ， 并 在 
Web 服 务 器 之 前 放置 男 一 个 防火 墙 ， 阻止 菜 些 流量 ， 但 让 服务 器 接受 
Web 请 求 。 而 且 ， 在 高 容量 网 站 上 ， 你 很 可 能 会 发 现 有 一 组 Web 服务 
器 在 分 担负 载 ， 而 不 只 是 一 台 服 务 占 。 

从 Web 服 务 器 到 后 端 服务 器 的 连接 ， 可 以 穿 过 一 个 受 保护 的 内 部 网 
络 。 此 外 ， 到 后 端的 连接 ， 也 可 以 通过 一 条 与 主 网 络 分 开 的 专用 线路 。 
信用 卡 验证 服务 器 ， 通 常 是 由 男 外 一 家 公司 提供 的 一 项 远 距 离 服 务 ， 需 
要 通过 一 个 安全 的 Intermet 连 接 进行 访问 。 


20.8 小 结 


Web 工 具 为 许多 种 应 用 程序 开发 提供 了 一 个 背景 。 除 了 简单 的 网 页 
和 Web 表 单 外 ， 开 发 人 员 正 在 把 安排 预约 、 跟 踪 库 存 和 处 理 购 货 订 单 的 
复杂 应 用 程序 装配 在 一 起 。 本 章 描述 了 Web 服 务 范例 核心 处 的 一 些 技 
术 。 读 者 应 该 已 经 知道 Web 服 务 基 础 结构 及 其 重要 性 。 本 章 还 讨论 了 3 
个 重要 的 Web 服 务 组 件 ， XML、SOAP 和 WSDL， 并 讲解 了 REST Web 服 
务 架 构 。 最 后 ， 本 章 还 简要 介绍 了 Web 交 易 的 结构 。 


20.9 问 与 答 






































和 问 : 与 传统 的 客户 端 /服务 局 程序 设计 相 比 ，Web 服 务 模型 有 何 优 
? 


答 : Web 服务 模型 用 来 集成 绝 大 多 数 网 络 上 己 有 的 标准 组 件 (例如 
Web 服务 器 和 Web 浏览 器 应 用 程序 ) 。 

问 : 为 什么 Web 服务 模型 基于 XML， 而 不 是 HTML ? 

答 : HMTL 是 一 组 预先 定义 的 标记 ， 是 一 种 专门 用 于 网 页 的 标记 语 
言 。 而 XML 几乎 能 够 训 无 限制 地 定义 新 元 素 和 为 变量 赋值 。 

问 : 既然 无 数 厂商 都 有 他 们 自己 的 语言 和 组 件 来 支持 Web 服 务 ， 
那么 像 SOAP 和 和 WSDL 这样 的 统一 标准 有 什么 益处 呢 ? 

答 : 像 SOAP 和 WSDL 这 样 的 标准 可 以 提供 一 种 通用 格式 ， 从 而 使 
得 针对 不 同 厂商 环境 编写 的 组 件 可 以 轻松 地 相互 作用 。 


20.10 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 则 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问 题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 

20.10.1 问题 

1. 什么 是 XML 模式 ? 

2. HTTP PUT 和 了 POST 方法 的 区 别 是 什么 ? 

3. 为 什么 REST 格 外 看 重 PUT? 

4. 为 什么 很 多 专家 觉得 REST 要 比 其 他 类 似 的 Web 服 务 架 构 更 安全 
呢 ? 


20.11 关键 术语 


复习 下 列 关 键 术 语 : 

> LAMP: 一 种 开源 的 Web 服 务 协议 栈 ， 由 Linux 操 作 系 统 、 
Apache Web 服 务 器 、MySQL 数 据 库 系统 和 三 种 “P?” 打 头 的 程序 设计 语言 
之 一 (PHP、Perl 或 Python) 组 成 。 

表述 性 状态 转移 (REST) : 一 种 用 于 构建 简单 和 可 移植 的 
Web 应 用 程序 的 设计 理念 。 

> SOAP: 一 种 针对 Web 应 用 程序 的 消息 交换 协议 。 

> Web 服 务 架 构 : 一 个 用 来 围绕 Web 组 件 构 建 自 定义 网 络 应 用 程 
序 的 范例 。 

















> WSDL (Web 服 务 描述 语言 ) : 用 来 描述 网 络 服务 的 一 种 基于 
XML 的 格式 。 

> XML 〈 可 扩展 标记 语言 ) : 一 种 用 来 在 Web 服 务 应 用 程序 中 定 
义 和 传 输 程 序数 据 的 标记 语言 。 


第 21 童 由 

本 章 介 绍 如 下 内 容 : 
> E-mail; 

> SMTP; 


> 垃圾 邮件 。 

即使 你 不 是 一 名 计算 机 专业 人 士 也 可 注意 到 ， 使 用 电子 邮件 进行 交 
流 已 经 成 为 当今 世界 一 个 极其 普遍 的 现象 。 不 管 是 职业 关系 还 是 个 人 关 
系 ， 现 在 都 依靠 电子 邮件 进行 快速 、 可 靠 的 远 距 离 通信 。 本 章 将 介绍 一 
人 电子 邮件 概念 ， 并 演示 电子 邮件 服务 是 如 何在 TCP/IP 网 络 上 运 

学 完 本 章 后 ， 你 可 以 : 

> 描述 电子 邮件 消息 的 各 个 部 分 ; 

> 讨论 电子 邮件 传递 过 程 ; 

> 描述 SMTP 传 输 是 如 何 工作 的 ; 

> 讨论 邮件 检索 协议 POP3 和 IMAP4; 

> 描述 邮件 客户 端的 角色 。 


21.1 什么 是 由 


电子 邮件 消息 是 首先 在 一 人 台 计 算 机 上 编写 完成 ， 然 后 穿 过 一 个 网 
络 ， 传 输 给 男 一 台 计 算 机 可 能 在 附近 ， 也 可 能 在 地 球 的 男 一 端 ) 的 电 
子 信 件 。 电 子 邮 件 的 开发 ， 始 于 网 络 发 展 历史 的 早期 。 几 乎 在 计算 机 刚 
被 连 入 网 络 时 ， 计 算 机 工程 师 们 就 开始 想 知 道 ， 是 否 人 类 和 机 器 都 能 够 
通过 那些 相同 的 网 络 链接 进行 通信 。 

当前 的 Internet 电 子 邮件 系统 开始 于 ARPAnet 时 期 。 绝 大 多 数 Internet 
的 电子 邮件 基础 结构 均 源 自 于 1982 年 出 版 的 两 个 文档 : RFC 821“Simple 
Mail Transfer Protocol” 和 REFC 822“Standard for the Format of ARPA 
Internet Text Messages”。 此 后 的 文档 已 经 改善 了 这 些 规 范 ， 包 括 定 义 新 
版 本 SMTP 的 RFC 2821 (之 后 被 RFC 5321 更 新 ) 和 RFC 2822“Internet 
Message Format” (之 后 被 RFC 5322 更 新 ) 。 这 些 年 ， 还 有 一 些 其 他 被 





提议 的 电子 邮件 格式 得 到 了 开发 〈 比 如 X.400 系统 ， 以 及 若干 专利 格 
式 ) ， 但 是 基于 SMTP 的 电子 邮件 的 简单 性 和 多 功能 性 ， 已 经 使 其 成 为 
niammet 上 上 最 员 影 啊 力 的 格式 和 事实 上 的 标准 。 

电子 邮件 是 在 用 户 界 面 仍 基于 文本 的 时 期 被 发 明 的 ， 而 且 其 最 初 目 
的 就 是 传输 文本 。 电 子 邮 件 消息 格式 是 为 了 有 效 传输 文本 而 设计 的 。 最 
初 的 电子 邮件 规范 并 不 包括 用 来 发 送 二 进 制 文件 的 规定 。 电 子 邮 件 高 效 
性 的 主要 原因 之 一 是 ，ASCII 文本 传输 起 来 轻巧 而 且 简 单 。 但 是 ， 对 于 
ASCII 文 本 ， 最 终 被 证 实 是 有 限制 的 。 在 20 世 纪 90 年 代 ， 电 子 邮件 格式 
被 扩展 至 包含 二 进 制 附件 。 附 件 可 以 是 任何 类 型 的 文件 ， 只 要 和 它 不 超出 
相应 的 电子 邮件 应 用 程序 所 允许 的 最 大 尺寸 。 本 章 将 会 讲 到 ， 这 些 附件 
通常 被 编码 为 “多 用 途 Internet 邮件 扩展 ”(Multipurpose Internet Mail 
Extensions，MIME ) 格式 。 现 在 ， 用 户 可 以 在 其 电子 邮件 消息 中 附加 图 
形 文件 、 电 子 表 格 、 字 处 理 文档 和 其 他 文件 。 


21.2 由 起 


你 的 电子 邮件 客户 问 应 用 程序 将 电子 邮件 消 轧 汇编 成 Internet 传输 
所 需 的 格式 。 在 Internet 上 发 送 的 电子 邮件 消 妃 由 两 个 部 分 组 成 : 报头 和 


主体 。 

类 似 消 息 的 主体 ， 报头 也 以 苦于 ASCII 的 文本 形式 传输 。 这 种 报头 
包括 一 连 冲 关键 字 字 段 名 称 ， 后 面 跟着 一 个 或 多 个 喜 号 分 开 的 值 。 使 用 
过 电子 邮件 的 任何 人 ， 都 熟悉 绝 大 多 数 邮 件 报头 字段 。 其 中 一 些 重要 的 
报头 字段 如 表 21.1 所 示 。 


表 21.1 一 些 重 要 的 电子 邮件 报头 字段 
































报头 字段 描 述 
收 件 人 邮件 接收 者 的 电子 邮件 地 址 
发 件 人 邮件 发 送 者 的 电子 邮件 地 址 
日 期 当前 消息 发 送 时 的 日 期 和 时 间 
主题 消息 主题 的 简要 描述 
抄 送 将 会 收 到 当前 消息 一 个 副本 的 其 他 用 户 电子 邮件 地 址 
将 会 Wh 消息 机 引 本 的 用 户 电 子 邮 件 地址 。 隐 蔽 副本 人 其 他 收 件 人 所 不 知道 的 当前 消息 
密 件 抄 送 的 副本 ， 密 件 抄 送 ”字段 里 列 出 的 任何 电子 邮件 地 址 ， 都 不 会 出 现在 其 他 收 件 人 所 接收 到 的 
报头 中 
回复 对 此 消息 答复 的 电子 邮件 地 址 。 如 果 这 个 字段 没有 给 定 ， 那 么 答复 将 转 到 “发 件 人 ”字段 中 所 提 及 





在 报头 之 后 ， 是 一 个 空白 行 ， 而 紧 跟着 那个 空白 行 的 就 是 消 轧 的 主 





体 〈 电 子 信 件 的 实际 文本 ) 。 

用 户 经 常 想 要 在 电子 邮件 消息 中 发 送 更 多 的 东西 ， 而 不 只 是 文本 。 
已 经 涌现 出 许多 种 通过 电子 邮件 传输 二 进 制 文件 的 方法 。 早 期 的 策略 包 
括 将 二 进 制 位 转换 为 某 种 ASCII 对 等 物 。 最 后 所 得 到 的 文件 看 起 来 像 是 
ASCII 文 本 。 实 际 上 ， 它 就 是 ASCII 文 本 ， 但 是 你 无 法 读 懂 它 ， 因 为 它 
只 是 一 堆 代 表 原 始 二 进 制 码 的 杂乱 的 字母 。BinHex 工具 (最 初 为 Mac 
而 开发 ) 和 Uuencode 工 具 〈 最 初 为 UNIX 而 开发 ) 采用 这 种 方法 。 你 的 
电子 邮件 客户 端 必须 具有 必要 的 解码 工具 ， 才 能 将 相应 的 文件 转换 回 它 
的 二 进 制 形 式 。 

对 于 通过 电子 邮件 发 送 二 进 制 文件 ， 一 种 更 加 普遍 而 通用 的 解决 方 
案 已 经 通过 MIME 格 式 显现 出 来 了 。MIME 是 一 种 用 来 扩展 Internet 电 子 
邮件 能 力 的 通用 格式 。 启 用 了 MIME 的 电子 邮件 应 用 程序 ， 会 在 传输 之 
前 ， 把 二 进 制 附件 编码 成 MIME 格 式 。 当 收 件 人 下 载 电子 邮件 消息 时 ， 
其 计算 机 上 局 用 了 MIME 的 电子 邮件 应 用 程序 将 解码 相应 的 附件 ， 并 将 
其 恢复 至 最 初 形式 。 

MIME 为 Internet 邮 件 带 来 了 如 下 一 些 创新 。 

> 扩展 了 的 字符 集 。MIME 并 不 局 限于 标准 的 128 位 ASCII 字 符 
集 。 这 意味 着 你 可 以 使 用 它 传输 特殊 字符 以 及 在 美国 英语 中 不 存在 的 字 


> 无 限制 的 文本 行 长 度 和 消 妃 长 度 。 

> 针对 附件 的 标准 编码 技术 。 

> 可 以 将 图 像 、 声 音 、 链 接 和 格式 化 文本 集成 到 邮件 消 妃 中 。 

绝 大 多 数 电子 邮件 客户 端 应 用 程序 都 文 持 MIME。MIME 格 式 在 好 
儿 个 RFC 中 均 有 描述 。 


21.3 由 ET 


与 其 他 Internet 服 务 相似 ， 电 子 邮 件 也 是 围绕 客户 端 /服务 此 的 过 程 
构建 的 。 不 过 ， 电 子 邮 件 过 程 要 稍微 复杂 一 些 。 概 括 地 说 ， 电 子 邮 件 事 
务 两 六 的 计算 机 均 充 当 客 户 病 ， 而 邮件 消 奶 则 通过 这 两 者 之 间 的 服务 絮 
来 在 网 络 上 传递 。 电 子 邮件 交付 过 程 如 图 21.1 所 示 。 一 个 客户 问 同 茶 
个 电子 邮件 服务 器 发 送 一 则 消息 。 该 服务 器 读 取 预 期 收 件 人 的 地 址 ， 并 
将 邮件 消 恩 转发 给 与 目的 地 地 址 相关 联 的 吃 一 台电 子 邮件 服务 器 。 邮 件 
消息 被 存储 在 那 台 目 的 地 电子 邮件 服务 需 的 某 个 邮箱 中 《邮箱 类 似 于 所 
传 入 邮件 消 恩 的 一 个 文件 夹 或 者 是 队列 ) 。 该 消息 地 址 所 指向 的 用 户 时 
不 时 登录 这 台电 子 邮件 服务 器 查看 邮件 消 恕 。 在 过 去 ， 标 准 的 过 程 要 求 
用 户 计 算 机 上 有 一 个 客户 端 程序 来 下 载 在 此 用 户 邮 箱 中 等 待 的 消 轧 。 随 




















后 ， 用 户 才 能 阅读 、 存 储 、 删 除 、 转 发 或 答复 相应 的 电子 邮件 消 轧 。 尽 
管 这 种 方法 仍然 很 普 过 ， 但 是 比较 新 的 技术 《比如 IMAP 和 webmail) 
允许 用 户 在 服务 器 上 管理 其 邮件 ， 而 不 必 下 载 它 们 。 

本 章 后 面 会 讲 到 ， 一 个 客户 端 应 用 程序 留心 加 外 发 送 邮 件 和 登录 到 
相应 的 服务 器 下 载 所 传 入 邮件 的 细节 。 绝 大 多 数 用 户 通 过 电子 邮件 客户 
端的 界面 ， 与 上 述 电 子 邮 件 过 程 相 互 作 用 。 发 送 一 则 电子 邮件 消息 以 及 








在 服务 器 之 间 转 发 它 的 过 程 ， 是 由 一 种 被 称 为 简单 邮件 传输 协议 
(Simple Mail Transfer Protocol，SMTP ) 的 电子 邮件 协议 管理 的 。 
电子 邮件 地 址 为 服务 器 提供 转发 邮件 消息 所 需 的 寻 址 信息 。 一 直 越 
来 越 流行 的 Internet 电 子 邮件 地 址 格式 如 下 所 示 : 
用 户 @ 服 务 器 








目的 地 电子 
邮件 服务 器 


电子 邮 
件 服务 器 





图 21.1 电子 邮件 交付 过 程 
或 者 (举例 来 说 ) 


BillyBob@Klondike.net 

SallyH@montecello.com 

cravenprof@harvard.edu 

在 这 种 标准 格式 中 ，@ 符 号 之 后 的 文本 就 是 目的 地 电子 邮件 服务 需 
， 而 @ 符 号 之 前 的 文本 ， 则 是 收 件 人 在 该 电子 邮件 服务 左上 的 邮 
箱 名 称 。 

注意 : 电子 邮件 和 DNS 

@ 符 写 之 后 的 文本 通 第 表示 收 件 人 域 上 默认 电子 邮件 服务 器 的 域 
名 。 相 应 域 的 DNS 服务 器 持 有 一 个 MX 资源 记录 ， 后 者 将 一 个 邮件 服务 
器 与 此 域名 相关 联 。 有 关 DNS 的 更 多 细节 ， 请 见 第 10 章 。 

电子 邮件 地 址 的 格式 ， 强 调 有 关 Internet 电子 邮件 的 一 个 重要 观测 
结论 : 电子 邮件 消 恩 的 目的 地 并 不 是 收 件 人 的 计算 机 ， 而 是 收 件 人 在 电 
子 邮 件 服务 右上 的 邮箱 。 从 电子 邮件 服务 器 上 将 等 竺 着 的 电子 邮件 消 乱 
传输 到 收 件 人 计算 机 ， 这 最 后 一 步 实 际 上 是 一 个 单独 的 过 程 。 本 章 后 面 
会 讲 到 ， 这 最 后 一 步 是 通过 茶 种 检索 协议 来 管理 的 ， 比 如 次 邮局 协议 
(Post Office Protocol， POP ) 或 Internet 消 息 访 问 协 议 〈Internet 
Message Access Protocol, IMAP) 。 

为 了 提高 传递 效率 ， 有 些 网 络 使 用 分 级 的 电子 邮件 服务 器 体系 。 在 
这 种 情况 下 《〈 见 图 21.2) ， 有 一 全 本 地 电子 邮件 服务 器 癌 中 继 电 子 邮件 
服务 器 转发 消 县 。 中 继 电 子 邮件 服务 器 接着 把 相应 的 邮件 发 送 给 目的 地 
网 络 上 的 另 一 台中 继 服务 右 ， 然 后 ， 这 台中 继 服 务 器 再 把 邮件 消 轧 发 送 
给 与 收 件 人 相关 联 的 本 地 服务 占 。 
















电子 邮 一 Internet 电子 邮 
四 = = Ee 件 服务 器 





SMTP 是 电子 邮件 服务 器 用 来 在 TCP/IP 网 络 上 转发 消息 的 协议 。 发 
起 某 一 电子 邮件 消息 的 客户 端 计 算 机 ， 也 使 用 SMTP 来 向 某 台 本 地 服务 
器 发 送 该 消息 以 进行 传输 。 

用 户 永 远 都 不 必 使 用 SMTP 交 谈 ， 因 为 SMTP 通 信 过 程 在 后 台 进 
行 。 不 过 ， 有 了 时候 需 要 知道 一 点 SMTP 知 识 ， 以 便 理解 针对 未 送 达 邮件 
的 出 错 信 息 。 而 且 ， 程 序 和 脚本 有 时 会 直接 访问 SMTP， 向 网 络 管理 员 
发 送 电子 邮件 警告 和 警报 。 

与 其 他 的 TCP/IP 应 用 服务 相似 ，SMTP 也 通过 TCP/IP 协 议 栈 与 网 络 
进行 通信 。 电 子 邮 件 应 用 程序 的 职责 很 简单 ， 因 为 该 应 用 程序 可 以 依靠 
TCP/IP 协 议 软 件 的 连接 和 验证 服务 。 默 认 情 况 下 ，SMTP 通 信 通 过 到 
SMTP 服 务 器 端口 25 的 一 个 TCP 连 接 进 行 。 客 户 端 与 服务 器 之 间 的 对 
话 ， 由 客户 端 发 出 的 四 字符 标准 命令 〈 和 数据 ) 以 及 不 时 地 从 服务 器 发 
出 的 三 位 响应 代码 组 成 。 表 21.2 显 示 了 一 些 SMTP 客 户 端 命令 。 相 应 的 
服务 器 响应 代码 如 表 21.3 所 示 。 





表 21.2 SMTP 客 户 端 命 令 


命 令 描 述 

HELO 你 好 《客户 端 请 求 与 服务 器 建立 一 个 连接 ) 
MAIL FROM 放 在 发 送 用 户 的 电子 邮件 地 址 之 前 

RCPT TO: 放 在 接收 用 户 的 电子 邮件 地 址 之 前 
DATA 宣告 开始 传输 消息 内 容 的 意向 
NOOP 要 求 服务 器 发 送 一 个 OK 答复 
QUIT 要 求 服务 器 发 送 一 个 OK 答复 并 终止 会 话 
RESET 异常 中 止 邮件 事务 处 理 


表 21.3 部 分 SMTP 服 务 器 响应 代码 








代 码 描 述 
220 <domain> 服 务 已 经 准备 好 
221 <domain> 服 务 正 在 关闭 传输 通道 
250 所 请 求 的 动作 成 功 完 成 
251 用 户 不 在 本 地 。 消 息 将 被 转发 给 <path> 
354 开始 发 送 数据 。 用 字符 串 <CRLF>.<CRLF> ( 它 表示 一 行 上 的 一 个 句点 〉 结束 数据 
450 由 于 邮箱 忙 ， 动 作 没有 被 执行 
500 语法 错误 : 命令 未 被 认可 
501 语法 错误 ， 参数 或 自 变量 有 问题 
550 由 于 未 找到 邮箱 ， 动 作 没有 被 执行 
551 用 户 不 在 本 地 。 尝 试 把 消息 发 送 给 <path> 
554 事务 处 理 失败 





问 电 子 邮 件 服 务 器 发 送 则 消息 的 过 程 大 致 如 下 。 本 章 前 面 提 到 ， 
这 个 过 程 被 用 来 从 发 起 的 客户 端 向 本 地 的 电子 邮件 服务 器 发 送 一 则 消 
息 ， 然 后 再 从 那 台 本 地 服务 器 向 目的 地 服务 器 或 中 继 路 径 上 的 另 一 台 服 
务 器 转发 该 消息 。 

1. 发 送 端 计算 机 向 相应 的 服务 器 发 出 一 个 HELO 命令 。 发 送 者 的 
域名 作为 一 个 参数 包含 在 其 中 。 

2. 服务 器 发 送 回 响应 代码 250。 

3. 发 送 方 发 出 MAIL FROM: 命 令 。 发 送 消息 的 用 户 的 电子 邮件 地 
址 作为 一 个 参数 包含 在 其 中 。 

4. 服务 器 发 送 回响 应 代码 250。 

5. 发 送 方 发 出 RCPT TO: 命 令 。 消 息 收 件 人 的 电子 邮件 地 址 作为 一 








个 参数 包含 在 其 中 。 

6. 如 果 相 应 的 服务 器 可 以 为 此 收 件 人 接收 邮件 ， 那 么 该 服务 器 将 
发 送 回响 应 代码 250。 人 否则， 该 服务 器 将 发 送 回 一 个 表示 问题 的 代码 
《比如 响应 代码 550， 表 示 所 需 的 用 户 邮 箱 没有 被 找到 ) 。 

7. 发 送 方 发 出 DATA 命 令 ， 表 示 它 准备 开始 发 送 电 子 邮件 消息 的 
全 
8. 服务 器 发 出 响应 代码 354， 指 示 发 送 方 开 始 传输 消息 内 容 。 

9. 发 送 方 发 送 消息 数据 ， 并 且 在 一 行 上 以 一 个 句点 〈.) 结束 。 
10. 服务 器 发 送 回响 应 代码 250， 表 示 邮 件 已 被 接收 。 

11. 发 送 方 发 出 QUIT 命 令 ， 表 示 传 输 完 成 ， 当 前 会 话 应 该 被 关 
闭 。 

12. 服务 器 发 送 代码 221， 表 示 传 输 通道 将 被 关闭 。 

网 络 采 用 这 个 SMTP 通 信 过 程 ， 将 电子 邮件 消息 传递 给 目的 地 电子 
邮件 服务 器 上 的 用 户 邮 箱 。 该 消息 然后 一 直 在 用 户 邮 箱 中 等 竺 着， 直到 
用 户 登 录 进 来 查看 相应 的 邮件 。 根 据 所 用 协议 或 电子 邮件 客户 端 类 型 的 
不 同 ， 要 么 该 消息 被 下 载 到 用 户 计 算 机 进行 查看 和 处 理 ， 要 么 用 户 直 接 
在 相应 的 服务 器 上 编辑 和 管理 该 消息 。 


21.5 检索 由 


上 一 市 所 描述 的 SMTP 交 付 过 程 ， 其 目的 并 不 是 同系 名 用 户 交 付 邮 
件 ， 而 仪 仪 是 向 该 用 户 的 邮箱 交付 邮件 。 用 户 接 下 来 必须 访问 该 邮箱 ， 
才能 碍 看 相应 的 邮件 。 这 个 额外 的 步骤 可 能 会 使 上 述 过 程 复 杂 化 ， 但 是 
它 具 有 下 列 优 后 : 

> 服务 器 将 继续 为 用 户 接收 邮件 ， 即 使 当 用 户 的 计算 机 并 没有 连 
接 到 网 络 的 时 候 ; 

> 电子 邮件 交付 系统 不 受 收 件 人 的 计算 机 或 位 置 的 影响 。 

后 面 这 条 优点 是 许多 电子 邮件 用 户 都 很 熟悉 的 一 个 特性 。 这 一 特性 
使 得 用 户 能 够 从 多 个 位 置 检查 电子 邮件 。 从 理论 上 讲 ， 任 何 能 够 访问 
Iternet 而 且 安装 有 电子 邮件 客户 端 应 用 程序 的 计算 机 ， 都 可 以 被 配置 来 
检查 用 户 邮 箱 中 的 消息 。 你 可 以 在 家 里 、 办 公 室 或 者 是 宾馆 房间 里 检查 
自己 的 邮件 。 访 问 邮 箱 和 下 载 消息 的 这 个 过 程 ， 需 要 有 一 个 邮件 检索 协 
议 。 在 随后 的 两 个 小 节 中 ， 你 将 学 习 到 有 关 邮 局 协议 〈POP) 和 Internet 
消息 访问 协议 (IMAP) 的 知识 。 你 还 将 学 习 到 有 关 webmail 的 内 容 ， 那 
是 一 种 比较 新 的 可 选 方案 ， 允 许 用 户 通 过 普通 的 Web 浏 览 器 访问 其 邮 


人 和。 
注意 : 电子 邮件 和 网 络 安全 




















实际 上 上， 网络 安全 结构 〈 比 如 防火 器 ) 有 时 会 阻止 用 户 从 陌生 位 置 
查看 和 发 送 电子 邮件 。 

保留 用 户 邮 箱 的 电子 邮件 服务 器 ， 通 常 必须 同时 支持 SMTP 服 务 
(用 于 接收 传 入 的 消息 ) 和 一 种 邮件 检索 协议 服务 (用 于 允许 用 户 访问 
相应 的 邮箱 ) 。 这 个 过 程 如 图 21.3 所 示 。 这 一 交互 需要 SMTP 服 务 和 邮 
件 检索 服务 之 间 的 协调 与 兼容 ， 这 样 数据 才 不 会 在 两 个 服务 同时 访问 相 
同 的 邮箱 时 发 生 丢 失 或 破坏 。 





邮箱 


用 户 访 
问 邮 箱 
(POP 或 IMAP) 





传 入 的 邮件 
(SMTP) 





电子 邮 
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图 21.3 SMTP 服务 应 用 程序 和 邮件 检索 服务 应 用 程序 必须 协调 对 邮箱 的 
访问 

21.5.1 POP3 

邮局 协议 版 本 3 (POP3) 是 一 种 广泛 使 用 的 消息 检索 协议 。POP3 
在 RFC 1939 中 有 描述 ， 随 后 的 RFC 已 经 对 其 进行 了 扩展 和 改进 。 客 户 端 
发 起 一 个 TCP 连 接 ， 到 电子 邮件 服务 锅 上 的 POP3 服 务 器 应 用 程序 。 默 认 
情况 下 ，POP3 服 务 器 在 TCP 端 口 110 上 倾听 连接 请 求 。 在 相应 的 连接 被 
建立 之 后 ， 客 户 端 应 用 程序 必须 向 电子 邮件 服务 器 发 送 用 户 名 和 密码 信 
和 那么 用 户 就 可 以 访问 相应 的 邮箱 来 下 载 或 删 
除 消 奶 了 Oo 

与 SMTP 客 户 端 相 似 ，POP3 客 户 端 使 用 一 连 串 四 字符 命令 与 服务 器 
进行 通信 。 服 务 器 使 用 少量 字母 应 答 进 行 啊 应 ， 比 如 +OK (表示 当前 命 
令 已 经 被 执行 ) 和 -ERR (表示 当前 命令 导致 一 个 错误 ) 。 这 些 啊 应 还 
可 能 包括 额外 的 参数 。 邮 箱 中 的 每 一 则 消息 均 由 一 个 消息 编号 来 索引 。 
客户 端 回 服务 器 发 送 一 条 RETR 〈 检 索 ) 命令 来 下 载 一 则 消息 。DELE 命 











令 将 从 服务 器 上 删除 一 条 消息 。 

POP3 客户 问 和 服务 器 之 间 发 送 的 消 轧 ， 对 于 用 户 来 说 是 不 可 见 
的 。 这 些 命令 作为 对 用 户 在 电子 邮件 客户 端 用 户 界面 内 的 活动 的 啊 应 ， 
由 电子 邮件 客户 端 应 用 程序 发 出 。 

POP3 的 一 个 缺点 是 ， 只 能 在 服务 器 上 实现 有 限 的 功能 。 用 户 只 能 
在 邮箱 里 列 出 相应 的 消 明 、 删 除 消 轧 和 下 载 消 明 。 对 消 恩 内 容 的 任何 操 
作 都 必须 在 客户 端 进行 。 这 一 限制 会 在 从 服务 需 问 客户 端 下 载 消 息 时 ， 
造成 延迟 和 增加 网 络 流量 。 于 是 ， 更 新 、 更 强大 的 IMAP 协 议 被 开发 出 
来 ， 以 弥补 其 中 的 一 些 不 足 之 处 。 

21.5.2 IMAP4 


Intermnet 消 息 访 问 协 议 版 本 4 (IMAP4) 是 一 种 与 POP3 相 似 的 消息 检 
索 协 议 。 不 过 ，IMAP4 提 供 了 几 种 POP3 所 不 具有 的 新 特性 。 有 了 
IMAP4， 你 可 以 浏览 基于 服务 器 的 文件 来 ， 以 及 不 必 首 先 把 消息 复制 到 
自己 的 本 地 计算 机 上 上， 就 可 移动 、 删 除 和 查看 那些 消息 。IMAP4 还 允许 
你 保存 特定 的 设置 ， 比 如 客户 端 窗口 外 观 或 者 是 服务 器 上 针对 指定 搜索 











绝 大 多 数 最 近 的 电子 邮件 客户 端 都 同时 支持 POP3 和 IMAP4。 尽 管 
目前 POP3 的 用 户 基础 要 更 广 一 些 ， 但 是 IMAP 的 许多 优点 确保 电子 邮件 
安装 将 继续 不 断 地 向 IMAP4 协 议 转 换 。 


21.6 由 站 


电子 邮件 客户 端 在 用 户 的 工作 站 上 运行 ， 并 与 某 台 电子 邮件 服务 器 
进行 通信 。 本 章 前 面 讲 到 ， 本 地 工作 站 并 不 与 电子 邮件 消息 的 收 件 人 直 
接 建立 一 个 连接 。 相 反 ， 该 工作 站 使 用 电子 邮件 客户 端 同 某 台电 子 邮 件 
服务 器 发 送 消 息 。 该 服务 器 再 把 相应 的 消息 发 送 给 分 配给 收 件 人 的 电子 
邮件 服务 器 。 在 常规 的 电子 邮件 场景 中 ， 将 要 接收 相应 消 恩 的 用 户 访 问 
电子 邮件 服务 器 上 的 个 人 邮箱 ， 然 后 该 消息 被 下 载 到 用 户 的 工作 站 。 这 
个 过 程 中 的 第 一 步 和 最 后 一 步 〈( 癌 最 初 那 台 服 务 器 发 送 消息 和 从 接收 服 
务 器 下 载 消 息 ) 通常 都 由 电子 邮件 客户 端 应 用 程序 完成 。 

电子 邮件 客户 端 提供 以 下 3 个 功能 : 

> 使 用 SMTP， 向 一 台 外 发 电子 邮件 服务 器 发 送出 站 消息 ; 

和 使 用 POP3 或 IMAP， 从 一 台电 子 邮 件 服务 器 收集 传 入 的 电子 邮 
消息 ; 

> 充当 阅读 、 管 理 和 撰写 邮件 消息 的 用 户 界 面 。 











电子 邮件 客户 端 必须 能 够 同时 充当 SMTP 客 户 端 和 邮件 检索 (POP 
或 IMAP) 客户 端 。 

本 章 前 面 所 讨论 的 电子 邮件 协议 为 电子 邮件 通信 提供 了 一 个 清晰 的 
路 线 图 ， 而 且 由 于 那个 缘故 ， 电 子 邮 件 客 户 端 也 都 相似 。 有 具体 如 何 配置 
某 一 电子 邮件 客户 端的 细节 可 能 各 不 相同 ， 但 是 如 果 你 熟悉 本 章 所 描述 
的 那些 过 程 ， 那 么 就 会 很 容易 摘 清 楚 如 何 让 它 工 作 《〈 用 户 需 要 知道 的 
是 ， 与 认证 和 加 密 相 关 的 安全 特性 在 网 络 层 之 外 还 提供 了 一 个 额外 的 复 
杂 层 。 有 关 如 何 安全 设 邮 箱 账 户 的 信息 ， 请 咨询 你 的 ISP 或 电子 邮件 管 
理 员 ) 。 与 其 他 的 网 络 客户 端 应 用 程序 相似 ， 电 子 邮 件 客 户 端 也 通过 相 
应 的 协议 栈 与 网 络 进行 通信 。 带 有 电子 邮件 客户 端的 计算 机 必须 有 一 个 
起 作用 的 TCP/IP 实 现 ， 而 且 它 必须 被 配置 得 能 够 使 该 电子 邮件 应 用 程序 
通过 TCP/IP 到 达 相 应 的 网 络 。 

在 确定 你 的 计算 机 正 作 为 某 个 TCP/IP 网 络 上 的 客户 端 适当 地 运行 
着 之 后 ， 你 需要 从 你 的 某 位 网 络 职员 那里 获得 另外 一 些 参数 ， 以 便 在 你 
的 系统 上 配置 一 个 电子 邮件 客户 端 。 如 果 你 是 一 名 家 许 用 户 ， 请 通过 你 
的 ISP 获 得 这 些 信 息 。 如 果 你 是 一 名 公司 用 户 ， 请 从 你 的 网 络 管理 员 那 
里 获得 这 些 信息 。 

你 需要 知道 以 下 信息 : 

> 电子 邮件 服务 器 的 完全 限定 域名 ， 以 用 来 回 外 发 送 邮 件 。 这 个 
服务 器 通常 接收 主机 名 SMTP， 后 面 跟 着 相应 的 域名 (例如 ， 
SMTP.rosbud.org) ; 

> POP 或 IMAP 服 务 器 完整 的 完全 限定 主机 名 ; 

> POP 或 IMAP 服 务 器 上 一 个 电子 邮件 用 户 账 户 的 用 户 名 和 密码 。 

配置 一 个 电子 邮件 客户 端的 任务 ， 很 大 程度 上 就 是 获得 这 些 参数 并 
把 它们 输入 该 电子 邮件 客户 端 程 序 而 已 。 

对 于 绝 大 多 数 操作 系统 来 说 ， 电 子 邮 件 客户 端 程序 已 经 逐渐 融入 其 
标准 的 昌 面 环境 。Windows 系 统 用 户 通过 Windows Mail 或 Outlook 邮 件 客 
户 端 访问 邮件 ;Apple Mail 是 Mac 系 统 上 的 标准 ，Linux 系 统 通 常 带 有 一 
种 流行 的 开源 邮件 客户 端 ， 比 如 Evolution 或 Mozilla Thunderbird。 

电子 邮件 客户 端 常常 与 其 他 相关 工具 融 为 一 体 ， 提 供 日 历 、 日 程 安 
排 和 通信 得 功能 。 邮 件 客 户 端 还 可 以 解释 多 种 文件 扩展 名 

(.doc、.txt、.pdf、.jpg〉 和 加 载 适当 的 查看 程序 ， 以 读 取 发 来 的 附件 。 
如 果 使 用 适当 ， 这 种 与 其 他 应 用 程序 的 集成 非常 方便 ， 但 是 它 也 已 经 造 
成 了 完全 新 一 代 的 宏 病 毒 和 蠕虫 ( 主 要 侵 柳 Windows 系 统 ) 通过 电子 邮 
件 附 件 传递 。 一 种 典型 的 宏 病 毒 可 能 会 访问 用 户 的 通信 得 ， 以 获得 新 的 
电子 邮件 地 址 ， 然 后 回访 通信 竹中 的 其 他 用 户 上 自动 友 送 电子 邮件 ( 见 图 
21.4) 。 最 近 的 Windows 系 统 使 用 的 额外 的 防范 措施 来 复制 这 种 攻击 ， 


























但 是 通过 电子 邮件 传播 的 蠕虫 和 病毒 在 Window 95 和 Windows XP 时 代 却 
相当 常见 。 

病毒 副本 被 发 
送 到 新 的 地 址 








billg@hello.com 
dollyp@iou.org 


的 邮件 信息 


病毒 程序 
打开 通信 短 


图 21.4 电子 邮件 病毒 


注意 : 留意 你 的 点 击 

里 然 随 着 公众 意识 和 杀毒 技术 有 效 性 的 提高 ， 通 过 电子 邮件 传播 病 
毒 的 问题 在 最 近 几 年 已 经 得 到 了 控制 ， 但 是 这 些 病毒 在 过 去 造成 了 相当 
大 的 破坏 。 这 里 的 要 点 是 ， 接 收 附件 并 单 击 通过 电子 邮件 递送 的 链接 ， 
会 对 你 的 系统 造成 风险 。 碍 阅 你 的 操作 系统 厂商 文件 ， 找 到 有 关 如 何 配 
置 系统 以 最 小 化 该 风险 的 建议 。 


21.7 webmail 


万 维 网 的 兴起 ， 已 经 导致 一 个 完全 新 的 、 围 比 Web 技 术 设 计 的 电子 
邮件 分 类 。 这 些 基 于 Web (或 webmail) 的 电子 邮件 工具 ， 并 不 需要 全 
功能 的 电子 邮件 客户 端 应 用 程序 。 用 户 直 接 使 用 Internet 浏 览 右 访问 相应 
的 网 站 ， 然 后 通过 一 个 Web 界 面 访问 电子 邮件 。 因 此 ， 用 户 的 电子 邮件 
可 以 从 任何 能 够 连接 到 Internet 的 计算 机 上 访问 。Hotmail、Yahoo! Mail 
和 Google 的 Gmail 都 是 webmail 服 务 的 实例 。 这 些 服务 通常 都 是 免费 的 ， 
或 者 几乎 是 免费 的 ， 因 为 提供 商 通过 广告 就 可 以 获得 足以 文 持 整 个 基础 
结构 的 款项 。 

webmail 既 通 用 ， 又 易于 使 用 。 对 于 习惯 使 用 Web， 又 不 想必 须 配 
置 和 排 错 某 一 电子 邮件 程序 的 非 技术 性 的 家 许 用 户 来 说 ，webmail 是 一 
个 很 好 的 选择 。 现 在 ， 有 些 公司 在 某 些 情况 下 使 用 webmail， 因 为 其 防 








火 墙 允许 HTTP 流 量 和 阻止 SMTP。webmail 可 能 看 起 来 不 安全 。Internet 
上 的 任何 人 都 知道 如 何 到 达 Yahoo! 站 点 ， 而 且 可 能 可 以 弄 清 楚 如 何 到 达 
Yahool! 邮 件 站 点 。 但 是 要 记 住 ， 传 统 的 电子 邮件 也 没 那么 安全 ， 除 非 你 
采取 措施 来 保护 它 。 任 何 拥有 你 的 用 户 名 和 密码 的 人 ， 都 可 能 查看 你 的 
邮件 。 主 流 的 webmail 站 点 均 提供 安全 登录 和 其 他 安全 措施 。 如 果 你 正 
ee (本 地 的 ) webmail 服 务 ， 最 好 了 解 一 下 该 系统 的 安全 


对 webmail 的 最 大 抱 龟 ， 通 各 是 它 的 性 能 。 由 于 该 邮件 系统 并 不 实 
际 存在 于 客户 端 计算 机 “〈 它 不 同 于 Web 浏览 器 ) ， 所 有 撰写 、 打 开 和 
移动 消息 的 琐事 都 发 后 网 络 连接 的 瓶颈 中 。 相 反 ， 传 统 的 电子 邮件 客户 
端 都 在 会 话 开 始 时 下 载 所 有 新 的 消息 ， 而 且 所 有 与 撰写 和 存储 消息 相关 
的 动作 都 发 生 在 客户 端 上 。 在 不 考虑 性 能 损失 的 情况 下 ， 对 于 许多 
和 户 来 说 ， webmail 的 极度 便利 性 可 以 确保 它 将 仍然 是 一 个 重要 
选择 。 

注意 : webmail 仍 然 是 电子 邮件 

webmail 的 主要 目的 是 为 用 户 提供 一 种 收发 消息 的 手段 。 尽 管 
webmail 可 能 看 起 来 像 是 一 个 全 新 的 概念 ， 而 其 实 它 与 图 21.1 中 所 描述 
的 普通 电子 邮件 系统 没有 多 大 差别 。 它 们 之 间 的 差别 是 ， 在 webmail 
中 ， 用 来 读 取 和 发 送 电子 邮件 的 软件 驻 留 在 电子 邮件 服务 右上， 而 且 收 
件 人 通过 Web 界 面 访 问 该 软件 。 在 后 台 ，webmail 系 统 仍 然 使 用 SMTP 在 
网 络 上 传输 电子 邮件 消息 。 


21.8 垃圾 邮件 


在 电子 邮件 技术 领域 ， 没 有 什么 最 近 的 发 展 比 垃圾 邮件 的 兴起 更 具 
影响 为 了 。 垃 圾 邮件 〈spam) 是 乱糟糟 地 堆 满 上 百 万 Internet 用 户 邮箱 
的 大 容量 电子 邮件 消息 的 绰号 。 那 些 消 息 大 肆 宣 传 银 行 贷款 、 饮 食 辅 
助 、 蓄 善 骗 局 以 及 各 种 各 样 围绕 一 时 快感 这 个 主题 的 产品 和 服务 。 从 技 
术 上 讲 ， 垃 圾 邮件 束 是 电子 邮件 ， 那 也 正 是 它 得 遂 的 原因 。 路 由 某 条 消 
县 的 电子 邮件 服务 器 ， 并 不 知道 该 消息 是 由 一 个 可 懂 的 目 动 化 模式 ， 还 
是 收 件 人 心爱 的 某 个 人 生成 的 。 

幸运 的 是 ， 接 收 者 对 于 识别 和 消除 垃圾 邮件 有 一 些 选 择 权 。 有 些 用 
来 对 抗 垃圾 邮件 的 技术 都 基于 TCP/IP 原 理 ， 因 此 与 本 书 有 关 。 不 过 ， 正 
如 你 将 看 到 的 那样 ， 垃 圾 邮件 的 制造 者 都 善于 找到 绕 过 那些 对 抗 手段 的 
方法 ， 因 此 没有 永久 的 解决 方案 。 比 较 新 的 技术 把 精力 主要 集中 在 分 析 
电子 邮件 消息 的 文本 上 。 

在 垃圾 邮件 产业 刚刚 局 动 时 ， 各 个 收 件 人 就 开始 认识 到 ， 许 多 垃圾 























邮件 都 来 自 少 数 特 定 的 电子 邮件 地 址 。 垃 圾 邮件 反对 者 们 已 经 积累 了 大 
量 的 、 被 认为 与 垃圾 邮件 相关 的 地 址 数据 列表 。 防 火 墙 、 邮 件 服务 器 或 
者 是 客户 端 程序 都 可 以 扫描 发 来 的 消 轧 ， 找 出 黑 名 单 中 的 地 址 。 

不 过 ， 葬 圾 邮件 制造 者 们 经 名 更 换 耻 地址 和 域名 ， 以 避 开 黑 名 单 。 
黑 名 单 被 认为 是 一 种 很 好 的 第 一 道 防线 ， 但 是 它 并 不 足以 完全 控制 垃圾 
邮件 。 事 实 上 ， 传 统 的 黑 名 单 正 变 得 越 来 越 不 相干 ， 因 为 垃圾 邮件 制造 
者 们 已 经 完善 技术 来 纸 过 和 它们。 一 种 策略 是 ， 利 用 安全 漏洞 较 大 的 公司 
的 邮件 服务 器 来 转发 垃圾 邮件 消息 。SMTP 邮件 服务 器 只 是 等 待 来 自 客 
户 端的 消 轧 ， 然 后 转发 它 。 当 然 ， 这 里 的 观念 是 ， 只 有 邮件 服务 器 的 所 
有 者 才 会 使 用 它 转 发 消息 ， 但 是 ， 没 有 适当 锁 住 的 邮件 服务 器 ， 可 以 被 
任何 人 使 用 ， 其 中 包括 位 于 为 一 个 位 置 的 垃圾 邮件 制造 者 〈 见 图 
21.5) 。 有 了 时， 合法 的 公司 和 完全 无 率 的 个 人 会 发 现 他 们 上 自己 出 现在 了 
电子 邮件 黑 名 单 上 ， 那 是 因为 垃圾 邮件 制造 者 正 利 用 他 们 的 服务 器 作为 
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图 21.5 垃圾 邮件 制造 者 们 有 时 可 以 利用 其 他 人 未 经 保护 和 没有 疑心 的 电 
子 邮件 服务 器 有 发送 其 消息 


垃圾 邮件 反对 者 们 已 经 通过 他 们 自身 的 补救 办 法 来 回击 这 种 策略 。 
通过 把 邮件 服务 器 放置 在 公司 防火 器 内 侧 ， 并 在 防火 墙 处 阻止 发 来 的 
SMTP 请 求 〈 见 图 21.6) ， 公 司 即 可 保护 上 自己 不 会 成 为 垃圾 邮件 中 继 
站 。 如 图 21.6 所 示 ， 来 自 防 火器 内 侧 的 邮件 客户 端 ， 可 以 使 用 相应 的 邮 





件 服务 器 转发 消息 ， 但 是 位 于 外 侧 的 客户 端 却 无 法 到 达 该 邮件 服务 器 。 
这 一 拉 术 对 于 控制 垃圾 邮件 来 说 十 分 有 用 。 不 过 ， 它 也 会 造成 一 些 局 限 
性 。 对 于 一 名 来 自 这 种 本 地 网 络 的 用 户 ， 在 他 带 独 笔记 本 电脑 旅行 或 从 
某 个 外 部 位 置 检查 邮件 时 ， 束 可 能 会 有 发现， 如果 不 重新 配置 电子 邮件 客 
性 端 以 指 回 为 一 台 SMTP 服务 器 ， 便 将 无 法 及 送 消 轧 〈 在 第 11 章 中 讲 
到 ， 通 过 YPN 连 接 ， 笔 记 本 用 户 可 以 直接 从 远程 位 置 连接 到 本 地 网 络 ， 
从 而 避免 了 该 问题 ) 。 一 种 逐渐 流行 起 来 而 且 更 为 灵活 的 解决 方案 是 ， 
让 SMTP 服 务 器 位 于 防火 墙 外 侧 ， 但 是 需要 通过 电子 邮件 客户 端 来 进行 
有 身份 验证 。 当 代 大 多 数 电子 邮件 客户 端 应 用 程序 都 文 持 这 种 验证 设置 ， 
以 用 于 问 外 发 送 邮件 。 














图 21.6 在 防火 器 之 后 放置 SMTP 服务 器 以 及 阻止 发 来 的 SMTP 请 求 可 ， 
以 保护 服务 器 免 遭 垃圾 邮件 制造 者 的 滥用 


有 些 垃 圾 邮件 制造 者 甚至 疤 入 无 境 用 户 的 计算 机 ， 然 后 配置 这 些 系 
统 发 送 垃 圾 邮件 。 这 些 被 感染 了 的 计算 机 常常 会 在 它们 个 察 觉 之 前 ， 砾 
送 成 和 上 万 条 消息 。 一 些 网 络 管理 员 已 经 通过 使 用 白 名 单 〈“ 一 个 允许 加 
所 在 域 发 送 邮件 的 地 址 列表 ) 来 进行 对 抗 。 这 种 技术 可 以 起 作用 ， 但 是 
它 对 许多 组 织 来 说 ， 限 制 的 程度 过 高 了 。 

男 一 种 防御 手段 被 称 为 灰 名 单 。 灰 名 单 系 统 临 时 拒绝 来 自 某 一 未 知 
源 的 消 轧 。 如 宁 相 应 的 消 恩 是 合法 的 ， 那 么 发 送 服 务 髓 会 再 次 传输 该 消 
恩 ; 然而， 垃圾 邮件 服务 器 通 币 都 是 自动 化 的 工具 ， 它 们 没有 被 设计 成 
在 交付 失败 时 再 次 进行 传输 。 如 果 服 务 占 没有 再 次 发 送 ， 那 么 相应 的 消 
恩 就 被 假定 为 垃圾 邮件 。 等 到 垃圾 邮件 服务 器 确实 找到 机 会 再 次 发 送 








时 ，Intermet 的 黑 名 单 积 累 服务 很 可 能 就 已 经 收集 到 了 那个 发 送 垃圾 邮件 
的 地 址 。 因 此 ， 灰 名 单 积 累 常 常 和 黑 名 单 积 累 一 起 使 用 。 

许多 对 抗 垃 圾 邮件 的 工具 ， 依 赖 于 对 消息 内 容 的 分 析 。 有 些 术 语 和 
短语 更 是 经 常 地 出 现在 垃圾 邮件 报头 和 消 恩 中。 一些 垃圾 邮件 过 滤器 根 
据 规则 封存 消 息 。 例 如 ， 某 一 过 滤器 可 能 会 封存 听写 语 ， 或 者 是 其 他 与 
免费 解剖 摘 述 相关 的 术语 。 更 加 完善 的 方法 〈 比 如 Bayesian 垃 圾 邮件 过 
滤 技 术 ) 采用 概率 统计 技术 来 分 析 消 息 内 使 用 的 词语 ， 并 给 出 一 个 得 
分 ， 表 明 该 消息 为 垃圾 邮件 的 可 能 性 。 一 些 垃圾 邮件 消息 怪异 的 词语 选 
择 和 含义 模糊 的 语言 ， 反 映 出 垃圾 邮件 制造 者 希望 能 够 汐 过 这 些 针对 内 
容 概率 的 过 滤器 网 络 的 愿望 。 

这 些 过 滤 工 具 中 的 一 部 分 有 产生 错误 肯定 的 倾 回 ， 在 其 中 ， 合 法 消 
恩 由 于 表现 出 像 垃 圾 邮件 的 样子 而 被 封存 。 最 好 的 过 小 技术 提供 一 种 方 
法 来 “训练 ”相应 的 过 小 器， 通过 同 它 展示 所 有 人 被 误 解 的 正确 事件 ， 使 其 
能 够 重新 计算 相应 的 概率 ， 而 且 不 会 再 犯 相同 的 错误 。 


21.9 小 结 


本 章 描述 了 在 电子 邮件 消息 离开 你 的 计算 机 之 后 所 发 生 的 事情 。 你 
看 到 了 电子 邮件 交付 过 程 幕后 的 细节 ， 还 学 习 了 有 关 SMTP 以 及 诸如 
POP3、IMAP4 和 webmail 之 类 邮件 检索 技术 的 知识 。 本 章 还 讨论 了 电子 
pi 
消息 的 努力 


21.10 问 与 答 


问 : 我 可 以 发 送 消 息 ， 但 是 无 法 连接 到 邮件 服务 器 下 载 新 的 消 
息 。 我 应 该 检查 些 什 么 ? 

答 : 你 的 电子 邮件 客户 端 应 用 程序 使 用 SMTP 发 送 消息 ， 和 一 种 邮 
件 检索 协议 〈 可 能 是 POP 或 IMAP) 来 检查 服务 器 上 的 发 来 消息 。 可 能 
你 的 邮件 检索 协议 的 传输 有 问题 。 许 多 网 络 为 发 来 的 消息 和 外 发 的 消息 
使 用 不 同 的 服务 器 。 你 的 POP 或 IMAP 服 务 器 可 能 宕 机 了 。 查 看 你 的 电 
子 邮件 客户 端 应 用 程序 中 的 配置 对 话 框 ， 那 里 有 你 的 POP 或 IMAP 服 务 
器 的 名 称 。 尝 试 ping 一 下 该 服务 器 ， 看 它 是 否 响应 。 

问 : 一 家 土耳其 的 会 计 师 事务 所 从 我 的 公司 订购 了 14 台 计算 机 。 
他 们 坚持 要 求 那些 计算 机 所 包括 的 电子 邮件 应 用 程序 必须 支持 
MIME。 为 什么 他 们 如 此 固执 ? 

答 : 电子 邮件 最 初 被 设计 支持 ASCII 字 符 集 ， 那 是 为 使 用 英语 书写 
的 用 户 而 开发 的 一 个 字符 集 。 其 他 语言 中 使 用 的 许多 字符 都 不 在 ASCII 











字符 集中 。MIME 扩 展 了 该 字符 集 ， 使 其 包括 其 他 非 ASCII 字 符 。 
21.11 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 下 在 测试 读者 对 本 和 章 
知识 的 理解 程度 ， 而 练习 由 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问 题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 

21.11.1 问题 

1. 什么 是 MIMIE， 以 及 它 的 用 途 是 什么 ? 

2. 什么 协议 用 来 发 送 电 子 邮件 消息 ? 

3. 什么 协议 用 来 从 用 户 的 邮箱 中 检索 电子 邮件 消息 ? 

4. 用 户 对 webmail 最 大 的 抱怨 是 什么 ? 

5. webmail 的 优点 是 什么 ? 


21.11.2 练习 


1. 如 果 你 有 一 个 Internet 账 户 ， 请 打开 你 用 来 发 送 和 查看 电子 邮件 
的 电子 邮件 客户 端 。 设 法 弄 清楚 SMTP 服 务 器 (用 于 发 送 邮 件 ) 和 POP 
或 IMAP 服 务 器 (用 于 接收 邮件 ) 是 在 哪儿 配置 的 。 

2. 如 果 你 真 的 觉得 自己 喜欢 冒险 ， 那 么 请 问 一 个 好 朋友 ， 你 是 否 
可 以 在 该 朋友 的 计算 机 上 配置 一 个 电子 邮件 客户 端 来 检查 你 的 电子 邮件 
账户 。 有 些 电 子 邮件 客户 端 支 持 多 个 电子 邮件 账户 。 或 者 ， 你 可 以 配置 
一 个 你 的 朋友 目前 不 在 使 用 的 内 置式 电子 邮件 客户 端 。 

注意 : SMTP 保 护 

你 可 能 会 发 现 ， 你 可 以 从 你 朋友 的 ISP 网 络 检查 自己 的 邮件 ， 但 是 
不 能 从 其 网 络 向 你 自己 的 ISP 网 络 上 的 SMTP 服 务 器 发 送 邮 件 。 许 多 ISP 
并 不 允许 外 部 的 电子 邮件 消息 试探 它们 的 SMTP 服 务 器 。 


21.12 关键 术语 


复习 下 列 关 键 术语 : 

> 黑 名 单 : 一 个 不 允许 问 当 前 域 转发 邮件 消 妃 的 服务 器 列表 。 

> 电子 邮件 主体 : 电子 邮件 消 妃 中 包含 消息 文本 的 部 分 。 

> 电子 邮件 客户 端 ， 一 种 客户 端 电子 邮件 应 用 程序 ， 负 责 发 送 邮 
件 、 检 过 邮件 和 管理 用 户 用 来 与 邮件 系统 交互 的 界面 。 
Se 电子 邮件 消息 的 开关 部分， 由 信息 字段 和 相关 























> 灰 名 单 : 通过 拒绝 首次 递送 和 等 着 查看 相应 的 服务 器 是 否 再 次 
发 送 同 一 消息 来 探测 垃圾 邮件 服务 器 的 系统 。 

Internet 消 息 访 问 协议 〈IMAP) : 一 种 增强 型 邮件 检索 协议 ， 
提供 POP 所 没有 的 几 种 特性 。 例 如 ， 你 不 必 首 先 从 服务 器 上 下 载 邮 件 消 
息 ， 即 可 访问 那些 消息 。 

> 邮箱 : 电子 邮件 服务 器 上 的 一 个 位 置 ， 为 用 户 存储 发 来 的 消 








> 多 用 途 Internet 邮 件 扩 展 (MIME ) : 一 种 扩展 Internet 邮 件 性 能 
的 电子 邮件 格式 。 

> 邮局 协议 (POP) : 一 种 在 Internet 上 使 用 0 
ee 能 够 登录 到 电子 邮件 服务 左上， 并 下 载 或 删除 等 竺 中 
消 居 。 

> 简单 邮件 传输 协议 “(SMTP)〉: 一 种 用 来 在 TCP/IP 网 络 上 发 送 
邮件 的 协议 。 

> webmail: 一 种 允许 用 户 通 过 普通 的 Web 浏 览 器 访问 电子 邮件 消 
居 的 系统 。 


> 白 名 单 : 允许 向 所 在 域 转发 邮件 消 奶 的 一 个 地 址 列表 。 
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本 章 介 绍 如 下 内 容 : 

> 流 协 议 ; 

> 多 媒体 链接 ; 

播客 〈Podcasting) ; 
> VOIP 。 

Internet 并 不 是 为 播放 音乐 和 收看 过 去 的 电视 剧 而 创建 的 。 在 
Intermet 流 的 时 代 ， 必 须要 引入 新 的 理念 和 新 的 协议 。 本 章 将 讲解 用 于 
Internet 的 多 媒体 技术 。 

学 完 本 章 后 ， 你 可 以 : 

> 描述 RTP 及 其 辅助 协议 ; 

> 讨论 传输 层 可 选 的 SCTP 和 DCCP; 

> 描述 某 个 多 媒体 文件 是 如 何 从 一 个 Web 和 链接 播放 的 ; 
> 解释 什么 是 “播客 ”， 以 及 它 是 如 何 工 作 的 ; 

> 描述 一 些 重 要 的 VoIP 协议 。 





22.1 流 问 题 


现在 的 Internet 用 户 拥有 全 部 的 网 络 连接 、 传 输 介 质 、 视 频 监 视 器 和 
PC 喇叭 ， 那 么 下 一 个 问题 是 ，Internet 是 否 会 使 得 电视 频道 、 电 话机 和 
广播 站 都 被 废弃 掉 呢 ? Internet 能 够 支持 语音 通信 吗 ? 提供 者 能 够 按 需 

(乃至 实时 ) 地 把 多 媒体 程序 设计 流 回 用 户 吗 ? 

专家 和 企业 家 们 已 经 谈论 一 种 电视 /计算 机 组 合 系统 好 几 年 了 ， 但 
是 早期 的 型 号 总 是 未 能 达到 预期 目标 。 一 部 分 原因 是 Internet 带宽 的 不 
足 ， 但 也 因为 家 庭 用 的 计算 机 硬件 没有 完全 达到 相应 的 标准 。 

现在 ， 只 要 用 户 愿 意 负担 其 费用 ， 那 种 电视 /计算 机 盒子 (box) 已 
经 是 一 种 成 为 一 种 现实 ， 而 且 Internet 电 话 服务 也 正 变 得 十 分 普遍 。 像 
Hulu 和 YouTube 这 样 的 在 线 服务 为 用 户 提 供 了 无 尽 的 播放 列表 ， 通 过 这 
些 播放 列表 ， 用 户 可 以 收看 电影 、 电 视 节 目 和 家 庭 视频 ， 而 Facebook 页 
面 以 及 其 他 一 些 普通 的 网 站 其 至 提供 方便 的 链接 ， 指 同 网 站 中 的 首 频 和 
视频 。 没 有 硬件 和 Internet 基础 设施 方面 的 进步 ， 这 些 发 展 都 不 会 发 
生 ， 但 是 按 需 的 多 媒体 新 世界 还 需要 TCP/IP 协 议 系 统 得 到 一 些 增强 。 

多 媒体 流 为 协议 系统 提出 了 几 个 问题 ,但 是 其 中 最 重要 的 问题 可 能 
是 服务 质量 (QoS) 。Internet 是 为 传输 文件 和 有 限 的 消息 而 设计 的 ， 而 
不 是 用 于 交互 式 或 连续 服务 的 。 数 据 报 根据 路 由 器 所 做 出 的 决定 ， 治 着 
它们 目 己 的 路 径 传输 ， 而 且 无 法 保证 它们 会 以 一 种 统一 的 、 连 续 的 流 形 
式 到 达 。 流 需要 高 性 能 ， 而 且 性 能 要 稳定 和 连续 到 足以 使 得 音 视 频 给 人 
感觉 比较 自然。 

为 了 说 明 这 个 问题 ， 请 考虑 那 传输 层 中 那 两 种 主要 的 协议 。UDP 协 
议 比 较 快速 ， 但 是 它 不 够 灵活 也 不 可 靠 。 相 反 ，TCP 协 议 比 较 可 靠 ， 但 
是 这 种 可 靠 性 需要 付出 性 能 的 代价 。TCP 的 可 靠 性 是 通过 繁琐 的 验证 和 
重 传 而 获得 的 ， 这 增加 了 不 确定 性 ， 而 且 妨 碍 了 连续 传输 的 概念 。 

TCP/P 协 议 复 中 添加 了 一 些 新 成 员 ， 用 来 处 理 与 流 式 交付 所 相关 的 
问题 。 你 将 在 本 章 中 学 习 到 实时 传输 协议 〈Real-time Transport 
Protocol，RTP ) 和 其 他 一 些 流 协 议 。 

需要 重点 注意 的 一 件 事 情 是 ， 流 问题 与 几 种 不 同 的 任务 有 关 。 你 可 
以 播放 流 音频 〈 例 如 ， FM 无 线 电 广 播 或 者 是 VoIP 电话 呼叫 ) 、 视 频 
(例如 ， 实 时 webcast 或 者 是 电影 点 播 ) ， 力 至 图 形 动 画 。 

当然 ， 男 一 种 传输 多 媒体 内 容 的 方法 是 ， 直 接 把 它 保 存 到 一 个 文件 
里 ， 然 后 通过 电子 邮件 、Web 链 接 、RSS feed 或 者 是 某 一 音乐 共享 应 用 
程序 来 传输 该 文件 。 本 章 还 将 讲解 多 媒体 链接 及 其 工作 方式 ， 但 是 这 些 
技术 与 其 他 任何 文件 传输 情况 都 没有 多 大 差别 ， 因 此 不 会 对 TCP/IP 协 议 
系统 造成 相同 的 难题 。 本 章 主 要 讲解 与 流 相关 的 问题 。 



































22.2 多 媒 \ 境 


多 媒体 交付 的 问题 并 与 仅仅 与 网 络 协 议 相 关 。 服 务 器 和 客户 端 应 用 
程序 必须 能 够 传输 大 量 的 信息 沪 ， 并 能 捕获 多 媒体 。 这 些 信 息 的 大 多 数 
数据 都 是 位 于 网 络 连 接 中 的 载荷 内 ， 因 此 并 与 直接 与 TCP/IP 网 络 相 关 。 

直到 进来 ，Internet 上 的 大 多 数 视频 都 是 基于 Adobe 的 Flash 视频 格 
式 以 及 相关 技术 。Apple 的 QuickTimne 和 Microsoft 的 Windows Media 
Services 也 提供 了 用 于 流传 输 的 生态 系统 ， 其 中 包含 了 服务 器 端的 应 用 
程序 、 客 户 问 的 媒体 播放 器 和 文件 格式 。Microsoft 的 Silverlight 框 架 而 
为 了 全 面 取代 Flash 提 供 的 语 Web 开 发 环境 而 出 现 的 。 在 第 19 章 中 讲 到 ， 
HTML5 规 范 对 流传 输 提 供 了 内 置 的 文 持 ， 从 而 宣判 了 类 似 于 Flash 这 样 
的 框架 的 死刑 。HTML5 提 供 了 对 大 量 多 媒体 协议 和 格式 的 直接 访问 ， 

其 中 包括 本 章 将 要 讲 到 的 RTP 协 议 簇 。 














针对 及 时 、 可 靠 的 交付 问题 ， 已 经 出 现 了 几 种 解决 方案 ， 但 是 对 于 
Intemet 流 这 一 难题 ， 最 重要 的 解决 方案 可 能 就 是 实时 传输 协议 
(RTP〉。RTP 为 在 TCP/IP 上 传输 音 视 频 流 定义 了 一 种 包 格 式 和 一 种 标 
准 的 方法 。RTP 的 名 称 预 示 着 它 是 一 种 传输 协议 ， 但 是 事实 上 要 稍微 复 
杂 一 些 。RTP 并 不 蔡 代 原 有 的 传输 协议 ， 相 反 ， 它 构建 在 UDP 之 上 《 见 
图 22.1) ， 并 且 使 用 UDP 端口 以 到 达 Internet。 
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图 22.1 RTP 利 用 UDP 来 提供 网 络 流传 输 


考虑 到 与 UDP 传输 相关 的 可 靠 性 问题 ， 你 可 能 正 觉得 奇怪 ，RTP 
是 如 何 侥 地 成 功 使 用 UDP 的 呢 。 在 第 6 章 讲 到 ， 开 发 人 员 可 以 编写 他 们 
自己 的 可 靠 性 机 制 ， 并 用 于 UDP。 束 RTP 来 说 ， 有 一 种 称 为 实时 控制 协 
议 (Real-Time Control Protocol，RTCP ) 的 伴随 协议 ， 为 RTP 会 话 监视 
服务 质量 。 这 人 允许 应 用 程序 对 流 进行 调节 ， 即 通过 改变 流速 率 或 者 可 能 
切换 至 一 种 较 低 资源 密集 型 格式 或 图 形 分 辨 率 。 这 种 方法 并 没有 完全 消 
除 这 里 的 问题 ， 但 是 它 确实 为 监视 数据 包 的 流动 提供 了 额外 的 选项 。 

RTP 最 初 是 在 RFC 1889 中 摘 述 鸭 ， 后 者 后 来 已 经 被 RFC 3550 取 代 
了 。RTP 报 头 如 图 22.2 所 示 。 该 报头 中 包含 如 下 字段 。 
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同步 源 标识 符 
贡献 源 (CSRC) 标识 符 
图 22.2 RTP 报 头 格式 


> 填充 : 示意 当前 数据 包 是 否 包含 一 个 或 更 多 填充 性 八 位 字 节 。 

> 扩展 : 示意 报头 扩展 的 存在 。 

> CSRC 计 数 : 固定 报头 之 后 的 CSRC 标 识 符 数 。 

> 标记 符 : 标记 帧 边界 以 及 数据 包 流 中 其 他 重要 的 点 。 

> 载 集 类 型 : 载荷 的 格式 。 

> 序列 号 : 一 个 代表 当前 会 话 中 位 置 的 数字 ， 每 个 数据 包 递 增 
1。 这 个 参数 可 以 被 用 来 检测 丢失 的 包 。 

> 时 间 惟 : 载 厨 中 第 一 个 八 位 字 节 的 采样 时 刻 。 

> SSRC: 识别 一 个 同步 源 。 

> CSRC: 为 数据 包 载 荷 识别 页 献 源 。 

一 个 可 选择 的 RTP 扩 展 报头 ， 人 允许 不 同 的 应 用 程序 开发 人 员 进 行 修 
改 试验 ， 以 改进 性 能 和 服务 质量 。 一 些 厂 商 已 经 开发 出 他 们 自己 的 RTP 
版 本 ， 它 们 有 着 各 不 相同 的 兼容 度 。 

使 用 RTP (或 是 其 他 任何 流 协议 ) 的 音频 应 用 程序 ， 必 须 提 供 某 种 
形式 的 缓冲 ， 以 确保 稳定 的 音频 或 视频 输出 流 。 绥 冲 区 是 用 来 在 数据 被 
接收 时 临时 存储 它们 的 一 块 内 存 。 组 冲 使 得 应 用 程序 能 够 以 一 个 稳定 的 























速率 来 处 理 输入 ， 即 使 其 到 达 的 速率 可 能 不 同 。 只 要 绥 冲 器 没有 完全 空 
或 者 是 完全 满 ， 接 收 数据 的 应 用 程序 即 可 恒 速 处 理 输入 。 

RT 协议 簇 中 还 提供 有 另 一 种 协议 ， 称 为 实时 流传 输 协 议 〈Real- 
Time Streaming Protocol， RTSP) 。RTSP 发 送 命 令 ， 人 允许 远程 用 户 控制 
流 。 你 可 以 把 RTSP 看 做 类 似 电 视 遥 控 器 之 类 的 东西 。RITSP 并 不 参与 实 
际 的 流传 输 ， 但 是 它 允 许 用 户 回 服务 器 应 用 程序 发 送 像 暂停 、 播 放 和 录 
制 那样 的 命令 。 

一 个 典型 的 流传 输 场景 如 图 22.3 所 示 。 在 这 里 ， 语 音 输入 通过 一 个 
音频 接口 进行 接收 ， 然 后 传输 给 某 个 计算 机 应 用 程序 ， 在 那里 ， 它 被 转 
换 为 某 种 数字 格式 。 流 传输 软件 把 流 分 为 离散 的 数据 包 ， 通 过 RTP 和 
TCP/IP 协 议 栈 ， 同 茶 个 流 客 户 端 传输 ， 数 据 在 那里 被 接收 进 一 个 缓冲 
区 ， 然 后 被 某 个 音乐 播放 器 应 用 程序 连续 地 从 缓冲 器 中 读 出 ， 该 程序 再 
把 声音 输出 至 一 对 立体 声 喇叭 。 期 间 ，RTCP 协 议 疝 参与 会 话 的 应 用 程 
序 提供 服务 质量 信息 ， 而 且 ， 如 果 这 是 一 段 预先 录制 的 视频 或 音频 文 
件 ， 而 不 是 一 名 真实 的 歌手 在 现场 演唱 ， 那 么 客户 端 上 的 用 户 就 可 以 在 
客户 端 应 用 程序 中 选择 选项 ， 通 过 RTSP 向 服务 器 发 送 开始 或 停止 人 
令 。 
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图 22.3 一 个 流传 输 的 场景 
22.4 传输 选项 


尽管 在 UDP 之 上 使 用 RTP 来 传输 音频 和 视频 流 的 方法 得 到 了 广泛 应 
用 ， 但 是 专家 们 仍然 在 研究 传输 层 的 可 选项 ， 以 解决 TCP 或 UDP 不 适用 
于 流传 输 的 问题 。 

流 控制 传输 协议 〈Stream Control Transmission Protocol，SCTP) 首 
次 出 现在 RFC 2000 中 ， 现 在 涵盖 该 内 容 的 文档 为 RFC 4960。SCTP 是 一 
种 面向 连接 的 传输 协议 (因此 更 像 是 TCP， ， 但 是 与 UDP 一 样 ，SCTP 


更 面向 消息 。SCTP 还 提供 通过 单个 连接 同时 维持 若干 消息 流 的 能 

数据 报 拥塞 控制 协议 (Datagram Congestion Control Protocol， 
DCCP) 在 RFC 4340 中 摘 述 ， 它 也 借鉴 了 TCP 和 UDP 中 的 特性 。DCCP 是 
面 癌 连接 的 《类 似 TCP) ， 交 付 速度 快 ， 但 不 可 靠 (类 似 UDP) 。 

SCTP 和 DCCP 都 执行 某 种 称 为 拥塞 控制 的 功能 。 从 其 名 称 中 可 以 看 
到 ，DCCP 提 供 了 一 种 拥塞 控制 机 制 。 拥 塞 控制 是 减少 与 TCP 有 关 的 各 
种 重 传 问题 以 及 提供 更 有 效 带宽 利用 的 一 种 方法 。DCCP 协议 所 使 用 的 
算法 会 调整 数据 流 的 特征 ， 以 优化 吞吐 量 和 减少 重 发 数据 包 的 数量 。 

现在 ， 已 经 有 SCTP 和 DCCP 的 实现 可 以 使 用 了 。SCTP 问 世 的 时 间 
稍微 早 一些 ， 可 能 更 为 开发 人 员 所 了 解 ， 但 是 DCCP 前 途 更 光明 。 


22.5 多 媒体 链 提 


你 不 必 四 处 冲浪 ， 即 可 在 网 页 中 找到 所 租 入 的 视频 和 音频 图 像 。 单 
击 某 个 链接 ， 来 听 一 个 声音 、 观 看 视频 或 者 是 欣赏 一 段 声 乐音 带 。 你 可 
能 正 感到 奇怪 ， 在 你 单 击 该 链接 后 ， 实 际 上 发 生 了 什么 。 

当然 ， 答 案 取 诀 于 该 链接 去 了 哪里 。 许 多 多 媒体 链接 就 是 简单 的 文 
件 。 第 8 章 讲 到 ， 带 有 HREEF 属性 的 <a> 标 记 是 对 另 一 个 资源 的 引用 。 在 
先前 的 示例 中 ， 该 资源 就 是 一 个 网 页 。 不 过 ， 这 里 的 引用 可 以 指 回 任何 
一 种 文件 ， 只 要 浏览 占 知 道 如 何 解 释 相 应 文件 的 内 容 妈 可。 现代 的 浏览 
器 可 以 处 理 多 种 不 同类 型 的 文件 格式 。 在 Windows 系 统 上 ， 文 件 扩展 名 
(句点 之 后 的 文件 名 部 分 ， 比 如 .doc、.gif 或 .avi) 告诉 浏览 器 〈 或 者 是 
操作 系统 ) ， 应 该 使 用 哪个 应 用 程序 来 打开 相应 的 文件 。 其 他 一 些 操作 
系统 可 以 不 依靠 文件 扩展 名 来 确定 文件 类 型 。 如 果 浏 览 网 页 的 计算 机 安 
闭 有 打开 相应 视频 或 音频 文件 的 必要 软件 ， 而 且 浏 览 器 或 操作 系统 经 过 
配置 后 可 以 识别 该 文件 ， 则 网 页 可 以 通过 一 个 普通 的 链接 来 引用 该 文 
件 ， 然 后 计算 机 将 在 该 链接 被 单 击 时 执行 相应 的 文件 。 

常见 的 视频 文件 格式 如 下 所 示 。 

> AVI( 音 视频 交错 ) : Microsoft 公 司 开 发 的 一 种 音 / 视 频 格式 。 
> MPEG (动画 专家 工作 组 ) : 一 种 流行 的 高 质量 数字 视频 格 
起 ， 

> SWF: 屏幕 动画 和 Flash 视 频 使 用 的 一 种 格式 。 

> MOV (QuickTime) : Apple 公 司 最 初 为 Mac 系 统 开 发 了 
QuickTime 格 式 ， 但 是 现在 QuickTime 可 以 广泛 用 于 其 他 系统 。 

YouTube 可 以 让 用 户 提 交 不 同 格式 的 视频 文件 ， 但 是 会 把 绝 大 多 数 
视频 都 转换 为 可 以 租 入 某 个 .swf 文 件 中 的 一 种 FLV F 格 式 的 文件 ， 因 为 
Flash 格 式 播放 速度 比较 快 ， 而 且 Flash 播 放 器 很 容易 得 到 。Internet 上 还 























存在 其 他 几 种 音频 格式 ， 但 是 对 于 下 载 和 播放 音乐 文件 来 说 ， 到 目前 为 
止 最 为 流行 的 是 有 专利 的 MP3 格 式 。 

当 你 在 客户 端 计算 机 上 安装 多 媒体 软件 时 例如 ， 当 你 安 状 
QuickTime 查 看 器 时 ) ， 安 装 程 序 通 常会 注册 当前 计算 机 应 该 用 来 打开 
此 应 用 程序 的 文件 扩展 名 。 有 时候 ， 如 果 没 有 正确 的 应 用 程序 或 插件 来 
播放 当前 文件 ， 用 户 则 会 被 引 回 某 个 下 载 站 点 ， 上 自动 安装 相应 的 文件 。 

当然 ， 记 录 、 编 码 和 得 看 一 个 多 媒体 文件 的 过 程 要 复杂 得 多 。 不 
过 ， 那 些 细节 实际 上 不 是 HTTP 或 TCP/PP 的 事 。 网 络 所 关心 的 是 ， 浏 览 
器 是 否 只 是 在 用 户 单 击 相应 的 链接 时 下 载 某 个 文件 。 

注意 : 辅助 的 应 用 程序 

浏览 器 有 时 使 用 其 他 应 用 程序 来 打开 和 执行 文件 的 事实 表明 ， 整 个 
HTTP 生态 系统 (HTTP、HTML、Web 服务 器 、Web 浏览 器 ) 本 质 上 
是 一 种 交付 方法 ， 非 常 像 TCP/IP 下 面 的 那些 层 。 

有 时 ， 链 接 提供 连接 到 某 个 实际 多 媒体 流 的 可 选项 。 位 于 Internet 
上 的 流 服 务 器 按 需 回 单 击 链接 的 用 户 ， 提 供 首 频 和 视频 流 。 

通过 Web 浏 览 器 局 动 某 个 流 的 一 种 常见 方法 是 ， 使 用 你 在 本 章 前 面 
所 学 过 的 RTSP 协 议 。 本 章 前 面 已 经 讲 过 ，RTSP 并 不 实际 参与 流传 输 ， 
但 是 它 为 开始 和 停止 相应 的 流 提 供 一 种 控制 系统 。 像 
rtsp://greatmovies.com/casablanca.mp4 这 样 的 一 个 URL， 可 能 会 同 你 的 
栗 面 交付 一 部 博 加 特 〈《 卡 村 布 兰 卡 》 男 主角 ) 的 经 典 影片 ， 前 提 是 你 
的 浏览 器 配置 了 正确 的 软件 来 处 理 这 个 连接 。 

更 加 复杂 的 是 ， 流 有 时 被 Web 脚 本 所 隐藏 ， 或 者 故意 隐藏 起 来 。 有 
时 ， 某 个 多 媒体 流 的 URL 实 际 上 被 封装 在 一 种 被 称 为 元 文件 的 小 型 文本 
文件 中 。 地 址 栏 中 引用 的 资源 可 能 就 是 相应 的 元 文件 ， 它 们 可 能 拥有 
像 .pls、.ram、.asx、.wax 和 和 .wvx 等 这 样 的 扩展 名 。 如 果 想 知道 链接 指向 
J 0 来 帮助 找 出 某 个 隐藏 的 多 媒体 
流 的 位 置 。 


22.6 提 (Podcastinsg ) 


在 多 媒体 文件 可 供 下 载 和 按 需 提供 连续 流 的 这 种 两 重 性 之 间 ， 是 一 
种 被 称 为 Podcast 的 中 间 (或 者 至 少 在 概念 上 截然 不 同 的 ) 创造 物 。“ 播 
容 ”(Podcasting〉 来 自 Apple 公 司 著 名 的 jPod 设备， 但 是 现在 这 个 术语 有 
了 更 广泛 的 意义 。 

Podcast 订 阅 通过 RSS feed 交 付 多 媒体 (通常 是 首 频 〉 内 容 。RSS 最 
初 用 来 向 用 户 提 供 或 发 送 新 闻 ， 有 一 点 像 是 通过 Internet 投 递 早 报 。 用 户 
订阅 某 个 RSS 新 闻 服 务 ， 然 后 内 容 将 会 自动 交付 到 用 户 的 巢 面 。 这 里 的 





























要 点 是 ， 用 户 不 必 出 门 或 在 某 个 网 站 上 得 找 新 闻 。 在 相应 的 订阅 建立 之 
后 ， 新 内 容 就 会 被 目 动 “ 推 ?到 读者 面前 〈 见 图 22.4) 。 
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图 22.4 Podcasting 通过 一 个 RSS 服务 交付 多 媒体 文件 


Podcast 现象 的 目标 是 ， 利 用 RSS 工具 ， 直 接 把 多 媒体 文件 交付 给 
查看 程序 。 实 际 情况 是 ，RSS 提供 了 一 种 方法 ， 将 某 个 文件 附加 到 新 闻 
消息 。 那 种 附加 特性 后 来 成 了 Podcasting 的 传播 媒介 。 

Podcast 客 户 端 应 用 程序 管理 Podcast 文 件 ， 并 提供 更 新 通知 。iTunes 
用 户 可 以 轻松 地 接收 Podcast， 而 其 他 音乐 播放 器 也 提供 该 特性 。 
iPodder 是 一 种 开源 的 Podcast 客 户 端 ， 可 以 与 Windows、Mac、Linux 和 
BSD 系 统一 同 使 用 。 

Podcast 的 整个 目的 束 是 定期 接收 更 新 ， 那 意味 着 无 论 是 谁 正在 服 
务 右 端 上 生成 那些 Podcast， 都 需要 提供 某 种 正在 进行 的 节目 安排 。 普 通 
大 众 的 Podcast 已 经 在 世界 各 地 广 为 流行 ， 通 过 RSS 的 神奇 功能 ， 同 订 
向 者 播送 常规 访谈 、howz-to 讨 论 、 音 乐 电 视 和 喜剧 节目 。 


22.7 VoIP 
Iternet 电话 通信 现在 许多 地 区 都 十 分 帝 见 。 与 传统 的 电话 服务 相 


比 ，TCP/P 电话 服务 通常 比较 便宜 ， 而 且 更 加 通用 。 在 许多 方面 ， 
Intermet 电 话 只 是 男 一 种 形式 的 语音 流 ， 因 此 对 于 RTP 是 用 来 传输 VoIP 通 











信 的 最 流行 的 协议 ， 应 该 不 会 感到 惊讶 。 但 是 ， 交 谈 的 过 程 只 是 难题 的 
一 部 分 。 找 到 某 个 用 户 、 打 电话 、 建 立会 话 以 及 得 体 地 结束 会 话 ， 这 些 
事 都 需要 新 的 工具 和 协议 。 

如 果 你 期 望 自 己 的 IP 电 话 服务 与 传统 的 电话 网 络 相 连接 ， 你 还 将 面 
对 这 样 一 个 问题 ， 提 供 一 个 控制 系统 ， 它 能 兼容 (或 者 至 少 能 够 通过 接 
口 连接 ) 传统 电话 系统 上 使 用 的 等 效 控件 。 

IP 电话 通信 可 以 通过 一 种 实际 的 硬件 电话 设备 (与 电话 机 相似 ， 但 
是 它 是 设计 来 与 TCP/IP 一 起 工作 的 〉 进行 ， 也 可 以 通过 一 种 被 称 为 软件 
电话 (soft phone) 的 计算 机 应 用 程序 进行 ， 那 种 程序 可 以 提供 电话 的 功 
能 ， 从 麦克 风 设 备 接收 音频 输入 ， 回 扬声器 或 头 戴 式 耳 机 发 送 音 频 输 
出 ， 并 且 通 过 所 在 计算 机 上 的 TCP/IP 联 网 软件 与 世界 相连 。 在 这 两 种 情 
2 相应 的 电话 都 通过 网 络 发 送 必 须 被 通话 另 一 端的 电话 所 接收 和 解 
学 的 信和 号。 

有 几 种 协议 可 用 来 发 起 和 管理 VoIP 电话 通话 。 国 际 电 信 联 盟 的 
H.323 协 议 系统 是 一 个 大 型 的 协议 秘 ， 用 来 管理 VoIP、 电 话 会 议和 其 他 
通信 任务 。 许 多 VoIP 系统 都 是 针对 H.323 而 设计 的 。 

另 一 种 比较 新 的 协议 更 加 简单 〈 而 且 易 于 描述 ) ， 即 通常 所 说 的 会 
话 初 始 协议 (Session Initiation Protocol，SIP) 。 

SIP 是 一 种 应 用 层 协议 ， 用 来 开始 、 停 止 和 管理 某 个 通信 对 话 。SIP 
回 远 程 用 户 发 送 一 个 邀请 。 在 VoIP 环境 中 ， 该 洲 请 就 相当 于 打 电 话 。 除 
了 发 起 和 终止 通话 外 ，SIP 还 具备 像 召 开会 议 、 呼 叫 转移 和 会 话 参数 协 
商 〈feature negotiation ) 这 样 的 特性 。 

在 建立 通话 之 后 ， 实 际 的 语音 流通 信使 用 像 RTP 这 样 的 一 种 协议 进 
行 。 

IP 电话 通信 的 另 一 个 复杂 情况 是 ， 成 功 地 与 使 用 老式 陆 上 线路 的 打 
电话 者 建立 联系 。 一 个 VoIP 网 关 设 备 充 当 从 Internet 到 该 电话 网 络 的 接 
口 〈 见 图 22.5) 。VoIP 呼 叫 者 无 需 网 关 ， 即 可 直接 通过 Internet 相 互 交 
谈 ， 但 是 当 他 们 呼叫 传统 电话 网 络 上 的 某 个 号 码 时 ， 相 应 的 呼叫 就 会 被 
路 由 至 某 个 VoIP 网 关 设 备 。Internet 电 话 通信 用 户 可 以 预定 一 个 VoIP 网 
关 服 务 ， 以 便 能 够 访问 某 个 网 关 。 这 种 可 选择 的 功能 一 般 也 是 VoIP 电话 
合同 的 一 部 分 ， 但 是 通过 网 关 进 行 连 接 的 费用 ， 通 常 要 远 高 于 通过 端 对 
端 Pmternet 通 话 技术 呼叫 某 个 用 户 的 费用 。 对 于 按 月 预付 费 的 用 户 来 说 ， 
通过 Internet 通 往 世 界 各 地 的 端 对 端 通话 ， 通 各 都 是 免费 的 《或 者 是 接近 


台 ) 























图 22.5 一 个 VoIP 网 关 充 当 到 传统 电话 网 络 的 接口 
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本 章 介 绍 了 一 些 在 Intermnet 上 提供 多 媒体 流传 输 的 技术 。 你 学 到 了 
有 关 RTP、RTSP 和 RTCP 的 知识 。 本 章 还 介绍 了 SCTP 和 DCCP 传 输 协 
议 ， 并 且 讨 论 了 多 媒体 链接 是 如 何 通过 一 次 鼠标 单 击 来 播放 音乐 和 视频 
的 。 你 还 学 习 了 播客 (Podcasting) 以 及 本 章 最 后 介绍 的 VoIP。 


22.9 问 与 答 


问 : 为 什么 主要 的 传输 层 协 议 都 不 适合 流传 输 ? 

答 : UDP 比较 快 ， 但 是 不 可 靠 ， 而 TCP 比较 可 靠 ， 但 是 用 来 确保 
交付 的 那些 控制 使 得 它 比 较 慢 ， 而 且 容 易 重 发 数据 包 。 

问 : RTP 两 个 姊妹 协议 CRTCP 和 RTSP) 的 用 途 是 什么 ? 

答 : 当 RTP 提供 流传 输 时 ，RTCP 监视 和 报告 服务 质量 。RTSP 用 
于 开始 或 停止 相应 流 的 控制 命令 。 

问 : 为 什么 YouTube 要 把 所 提交 的 视频 转换 为 Flash 格 式 ? 

本 Flash 是 一 种 高 效 且 可 靠 的 视频 格式 ， 而 且 Flash 播 放 器 很 容易 

得 到 。 


22.10 测验 
下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 由 在 测试 读者 对 本 章 


知识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答案 ， 请 














参见 附录 A。 

22.10.1 问题 

1. 缓冲 在 RTP 中 的 作用 是 什么 ? 

2. 什么 是 RSTP， 它 的 用 途 是 什么 ? 

3. SCTP 和 DCCP 是 面 癌 连接 的 还 是 无 连接 的 协议 ? 

4. Podcast 使 用 什么 系统 来 交付 ? 

5. 什么 是 SIP， 它 的 用 途 是 什么 ? 

22.10.2 练习 

1. 查找 并 收听 一 个 采用 流 形 式 来 传输 的 电台 。 

2. 如 果 你 可 以 使 用 VoIP， 请 拨打 以 一 个 电话 ， 然 后 将 其 通话 质量 
与 传统 电话 进行 比较 。 

3. 查找 并 收听 一 个 podcast。 你 可 以 收听 podcast.com。 

4. 观看 一 个 YouTube 视 屏 ， 然 后 将 其 视频 清晰 度 与 电视 的 清晰 度 
进行 比较 。 


22.11 关键 术语 


> 数据 报 拥塞 控 制 协 议 (DCCP) : 一 种 可 选 的 传输 层 协 议 ， 用 
于 流传 输 应 用 程序 。 

> 会 话 参数 协商 : 应 用 程序 或 设备 之 间 的 一 种 协商 ， 为 当前 连接 
达成 一 组 共同 的 特性 。 
> 播客 〈Podcasting) : 一 种 用 来 通过 RSS feed 交付 多 媒体 文件 的 

> 实时 控制 协议 CRTCP) : 一 种 为 RTP 提 供 服 务 质 量 监控 的 协 
议 。 

实时 流传 输 协议 〈(RTSP) : 一 种 为 RTP 提 供 控制 命令 的 协议 。 

> 实时 传输 协议 (RTP，: 一 种 流行 的 流传 输 协 议 。 

> 会 话 初始 协议 〈SIP) : 一 种 用 来 管理 VoIP 通信 的 协议 。 

> 流 控 制 传输 协议 (SCTP，: 一 种 可 选 的 传输 层 协 议 ， 用 于 流传 
输 应 用 程序 。 

> VoIP: 在 TCP/IP 网 络 上 进行 的 电话 通信 服务 。 


> 软件 即 服务 ; 

> 虚拟 主机 托管 ; 

> 弹性 云 ; 

> 平台 即 服 务 。 

现在 ， 所 有 人 都 在 讨论 云 ， 但 是 术语 “ 云 计算 ?" 却 因为 语 境 的 不 同 ， 
其 含义 各 有 千秋 。 本 章 将 从 终端 用 户 和 IT 专家 的 角度 来 讲解 云 。 

学 完 本 章 后 ， 你 可 以 : 

> 解释 为 什么 软件 即 服 务工 具 在 移动 时 代 日 渐 流 行 ; 

> 定义 云 存 储 、 云 备份 和 云 打印 ; 

> 摘 述 数据 中 心 如 何 使 用 虚拟 化 ; 

> 描述 弹性 主机 托管 ; 

> 解释 平台 即 服 务 是 如 何 区 别 于 EC2 类 型 的 弹性 云 服 务 的 。 


23.1 什么 是 云 


在 对 流行 词汇 趋 之 知 登 的 行业 ， 术 语 “ 云 计算 ”作为 一 个 最 啊 亮 的 口 
号 开始 兴起 。IT 公 司 、 电 话 公 司 、 广 告 商 ， 以 及 其 服务 器 机 房 已 经 相当 
拥挤 、IT 预 算 已 经 超标 的 那些 普通 公司 ， 都 对 云 投 入 了 巨大 的 热忱 。 与 
很 多 流行 词汇 一 样 ， 云 计算 也 是 一 个 用 来 表达 某 种 含义 的 一 个 术语 。 对 
不 同 的 用 户 和 不 同 的 市 场 行业 而 言 ， 云 计算 所 指 代 的 具体 事务 也 不 相 
A 这 里 将 打 着 云 计 算 旗 号 的 服务 进行 了 领域 划分 ， 如 
下 所 示 。 

> 在 线 用 户 服 务 : 为 终端 用 户 访问 简单 和 实用 的 在 线 服 务 《〈 比 如 
存储 、 打 印 和 桌面 生产 力 工 具 的 在 线 版 本 ) 提供 便利 的 软件 即 服务 

(Software as a Service，SaaS) 工具 和 其 他 在 线 应 用 程序 。 

> IT 专业 的 云 服务 : 讨论 云 的 系统 管理 员 并 不 是 仅仅 使 用 在 线 的 
电子 表格 。IT 云 服务 通过 在 线 的 形式 可 以 蔡 换 挥 I 服务 器 机 房 中 的 所 有 
东西 ， 甚 至 包括 服务 器 人 硬件 。 

尽管 与 这 些 技术 打交道 的 经 历 各 不 相同 ， 但 是 它们 在 后 台 使 用 的 都 
是 相同 的 云 原 则 。 

以 前 ， 服 务 需要 在 本 地 计算 机 或 本 地 网 络 上 进行 提供 ， 而 云 计算 单 
命 则 是 将 这 样 的 服务 放置 在 Internet 上 。 之 所 以 比喻 为 云 ， 是 因为 它 缺 
乏 可 见 性 。 你 不 能 清楚 地 看 到 这 些 服务 来 自 于 哪里 ， 以 及 它们 是 如 何 实 
现 各 目的 服务 的 ， 你 只 是 知道 它们 就 在 那里 ， 你 可 以 通过 相同 的 Intemet 
编 址 规则 来 访问 这 些 服 务 。 

在 本 章 的 学 习 中 ， 你 会 注意 到 ， 云 服务 模型 是 另外 一 种 形式 的 客户 






































端 /服务 器 架构 ， 而 后 者 是 本 书 的 一 个 主题 。 但 是 ， 在 云 的 世界 中 ， 服 
务 器 和 客户 端 〈 也 就 是 应 用 程序 ) 之 间 的 界限 相当 模糊 。 

本 章 后 面 的 内 容 会 从 终端 用 户 角度 和 IT 服务 的 角度 来 讲解 云 。 但 
是 ， 请 记 住 ，IT 云 “数据 中 心 ” 技 术 〈 比 如 虚拟 计算 和 基于 云 的 负载 均 
衡 ) 很 有 可 能 在 SaaS 类 型 的 云 服 务 的 幕后 工作 ， 就 如 同 它们 默默 地 出 现 
在 许多 主要 网 站 、 企 业 网 络 和 社交 化 网 络 服务 中 的 框架 内 那样 。 


23.2 用 户 的 云 


在 第 20 章 讲 到 ，TCP/IP 和 Web 基 础 设施 已 经 成 为 开发 和 部 署 基于 网 
络 的 应 用 程序 的 平台 。 当 你 浏览 如 今 的 网 站 时 ， 你 甚至 不 会 看 到 一 个 简 
单 的 静态 HTML 页 面 。 

本 书 前 面 章 节 已 经 讲解 了 通过 网 络 来 启用 脚本 或 其 他 编程 元 素 的 方 
法 。 如 今 的 基于 云 的 服务 进一步 延伸 了 这 个 概念 。 本 章 后 面 小 节 会 讲 
到 ， 云 通过 浏览 器 窗口 为 用 户 提 供 了 完善 的 体验 。 

终端 用 户 在 网 上 冲浪 已 经 多 年 ， 却 没有 听 说 过 基于 云 的 服务 或 客户 
云 范 式 。 从 某 种 意义 上 来 说 ， 与 云 相关 的 技术 是 逐渐 演变 的 ， 
语 “ 云 ”? 却 随 着 智能 手机 和 移动 app 文 化 的 兴起 而 被 终端 用 户 所 熟知 。 通 
过 将 应 用 程序 的 处 理 转移 到 服务 器 端 ， 从 而 将 客户 端 资源 的 需求 降 至 最 
低 ; 厂商 可 以 在 大 量 的 轻型 系统 上 提供 大 量 的 服务 。 与 此 同时 ， 规 模 经 
济 节省 了 服务 器 端的 开支 ， 因 为 存在 大 量 用 户 ， 因 此 有 助 于 降低 服务 器 
的 每 用 户 成 本 。 

但 是 ， 文 持 这 些 用 户 云 环境 的 大 广 商 《比如 Apple、Google 和 
Microsoft) 并 没有 将 云 简单 地 当成 一 种 网 络 互 连 。 这 些 厂 商 只 4 所 以 将 用 
户 吸 引 到 云 中 ， 是 因为 他 们 可 以 通过 用 户 的 数量 来 争取 广告 商 的 广告 费 
用 ， 甚 至 也 可 以 通过 销售 用 户 统计 信息 来 谋 利 。 

下 面 的 小 节 将 讲解 用 户 云 环境 中 的 一 些 代 表 性 元 素 。 你 将 学 习 到 : 

















> SaaS; 
> 云 存 储 和 备份 ; 
云 打印 。 


请 记 住 ， 这 些 服务 的 目标 是 将 计算 机 或 移动 设备 简单 、 不 唐 突 地 集 
成 到 用 户 生活 中 ， 这 样 ， 用 户 惑 可 以 随时 随地 处 理 手头 的 任务 《比如 碍 
找 歌曲 或 所 交 图 片 〉。 

23.2.1 民 

术语 “软件 即 服务 〈SaaS ) ”可 以 应 用 到 运行 于 Web 服 务 嚣 (而 不 是 
用 户 的 果 面 环境 ) 的 大 量 用 户 应 用 程序 中 。 其 中 很 多 应 用 程序 都 是 经 典 


的 生产 力 工 具 ， 比 如 字 处 理 程 序 、 电 子 表 格 和 演示 软件 。 很 多 其 他 的 流 
行 在 线 应 用 程序 也 属于 该 类 别 。 

在 SaaS 的 世界 中 ， 唯 一 的 客户 端 是 Web 浏 览 器 ， 其 他 所 有 的 事情 都 
在 服务 器 上 运行 。 例 如 ， 用 户 可 以 连接 到 一 个 在 线 的 字 处 理工 具 ， 并 在 
Web 浏 览 器 中 写 文 章 。 这 种 方式 的 一 个 最 主要 的 好 处 是 ， 用 户 可 以 通过 
任何 Web 浏 览 器 来 访问 相同 的 文章 。 用 户 可 以 通过 学 校 中 的 计算 机 登 
录 ， 也 可 以 通过 位 于 世界 另 一 端的 酒店 的 计算 机 登录 ， 从 而 访问 同一 个 
在 线 文 档 。 而 且 服 务 厂 商 还 提供 了 容错 功能 ， 这 样 用户 束 不 用 担心 因为 
人 硬盘 故障 而 导致 文档 丢失 的 情况 了 。 

SaaS 工 具 已 经 存在 了 多 年 ， 但 是 它们 最 近 才 随 着 像 Google 
Docs( 见 图 23.1) 这 样 的 工具 套件 的 出 现 ， 而 逐渐 流行 起 来 。Apple 的 
iWork 套 件 的 在 线 版 本 为 iPhone 和 iPad 用 户 提 供 了 相似 的 服务 。 
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图 23.1 Google Docs 和 其 他 类 似 的 SaaS 工 具 以 在 线 方式 提供 了 与 传统 桌 
面 生产 力 工 具 《〈 比 如 字 处 理 程 序 和 电子 表格 ) 相似 的 功能 


SaaS 工 具 的 范围 已 经 远 远 超 出 了 Google Apps 提 供 的 传统 生产 力 服 


务 。 从 理论 上 讲 ， 我 们 今天 经 和 常见 到 的 一 些 Internet 工 具 也 属于 SaaS 工 具 
《比如 ，iTunes 音 乐 app、Flickr 照 户 管理 器 ， 以 及 Gmail webmail 服 
务 ) 。 有 关 这 些 工 具 的 完整 介绍 ， 可 以 在 线 访问 这 些 工具 。 出 于 讲解 的 
需要 ， 我 们 需要 记 住 的 一 点 是 ， 尽 管 从 用 户 体 验 的 角度 来 看 ， 这 些 工具 
激动 人 心 ， 而 且 是 革命 性 的 ， 但 是 从 实质 上 来 讲 ， 它 们 仍然 是 使 用 
TCP/IP 连 网 技术 来 实现 的 ， 这 些 技术 包括 : 

> 通过 HTTPS 的 加 密 登 录 和 访问 ; 

> 通过 HTTP 传 输 的 HTML:; 
> 对 客户 端 工作 区 和 其 他 客户 端 /服务 器 端 脚本 技术 进行 高 效 更 新 
JAJAX:; 

> 允许 用 户 高 效 存储 和 检索 数据 的 XML， 以 及 基于 REST 和 SOAP 
的 Web 服 务 组 件 ; 

> 内 容 管理 系统 (CMS ) ， 在 某 些 情况 下 ， 还 包括 管理 和 维护 客 
户 端 工作 区 ， 以 及 与 后 端 数据 库 或 基于 XML 的 数据 存储 进行 通信 的 其 
他 Web 服 务 应 用 程序 。 

当然 ， 使 用 相同 CTP/IP 协 议 进 行 的 所 有 通信 ， 都 会 通过 统一 资源 标 
识 符 (URI) 来 传输 资源 位 置信 息 。 

23.2.2 云 存 储 和 备份 


基于 云 的 存储 和 备份 是 一 种 快速 增长 的 云 范式 应 用 程序 ， 它 可 以 扩 
展 到 从 家 许 用 户 到 大 型 网 络 的 所 有 应 用 级 别 。 网 络 备份 技术 已 经 存在 多 
年 ， 并 在 企业 网 络 中 得 到 了 广泛 应 用 。 在 前 面 章 节 中 讲 到 ，Internet 其 实 
束 是 男 外 一 种 TCP/IP 网 络 ， 因 此 这 些 技术 也 可 以 很 容易 地 应 用 到 Internet 
环境 中 。 为 了 让 基于 云 的 存储 和 备份 有 更 为 广泛 的 应 用 ， 工 程 师 们 实现 
了 与 之 相关 的 必要 技术 ， 并 同时 指明 了 实现 云 存 储 和 备份 所 需要 的 条 
件 : 快速 的 网 络 和 丰富 、 连 接 的 在 线 存储 。 

上 面 一 节 讲 到 ， 用 户 文 件 和 文件 夹 的 在 线 存储 可 以 让 用 户 从 多 个 位 
置 来 对 其 访问 。 这 个 概念 也 可 以 用 于 备份 。 尽 管 专家 呼吁 用 户 要 定期 进 
行 数据 备份 ， 但 是 大 量 的 用 户 对 此 根本 不 收 一 顾 ， 而 云 备份 服 务 可 以 自 
动 执 行 该 任务 。 从 此 ， 困 扰 用 户 多 年 的 问题 现在 得 以 解决 。 大 多 数 的 云 
备份 工具 采用 的 是 相似 的 方法 。 如 图 23.2 所 示 ， 用 户 的 家 用 系统 中 存在 
一 个 某 种 形式 的 备份 代理 程序 。 每 隔 一 定 的 时 间 间 隔 (通常 由 用 户 来 定 
义 ) ， 操 作 系 统 会 唤醒 客户 端 代理 ， 用 于 收集 从 上 一 个 备份 后 发 生 过 修 
改 的 文件 (或 者 是 所 有 的 文件 ， 这 取决 于 用 户 的 设置 ) ， 然 后 再 连接 到 
备份 服务 ， 并 将 文件 传输 到 服务 器 位 置 。 大 多 数 高 端的 服务 会 为 数据 备 
份 和 恢复 过 程 使 用 某 些 形式 的 加 密 。 





























图 23.2 每 隔 一 定 的 间隔 ， 操 作 系 统 束 会 唤醒 备份 代理 程序 ， 后 者 将 文件 
发 送 到 基于 云 的 备份 服务 中 


与 上 一 节 描 述 的 SaaS 工具 相似 ， 基 于 云 的 存储 也 提供 了 从 其 他 位 
置 的 其 他 计算 机 来 访问 数据 的 能 力 。 存 储 服 务 还 可 以 处 理 容 错 的 问题 ， 
几 
情况 出 现 。 

在 线 备份 解决 方案 的 价格 相对 低廉 〈 某 些 情况 下 ， 每 个 月 只 要 5 美 
元 ， 当 该 解决 方案 与 其 他 服务 绑 定时 ， 甚 至 是 免费 的 ) 。 许 多 隐私 保护 
倡导 者 在 过 去 提 到 的 一 个 问题 是 ， 其 他 人 也 可 以 获得 你 的 数据 。 其 中 很 
多 在 线 备份 服务 坦率 地 承认 〈 或 者 不 会 否认 ) ， 通 过 扫描 在 线 数据 ， 它 
们 可 以 获得 市 场 信息 和 用 户 统计 信 息 。 即 使 你 关闭 了 账户 ， 也 不 能 保证 
它们 不 会 删除 你 的 数据 。 

带 有 基于 Web 的 SaaS 工 具 的 在 线 存储 实际 上 已 经 成 为 一 种 必然 。 即 
使 使 用 本 地 应 用 程序 来 存储 数据 ， 在 线 存 储 也 逐渐 成 为 一 种 流行 的 选 
项 。 尤 其 是 在 充斥 着 大 量 廉价 的 便携 式 计算 机 和 移动 设备 的 世界 中 ， 它 
们 的 存储 空间 受到 限制 ， 而 且 也 没有 方便 而 且 可 用 的 备份 介质 时 ， 在 线 
存储 无 疑 成 为 其 首选 。 














29.2.3 741E 


Google 的 云 打印 是 一 种 比较 新 的 而 且 仍然 在 实验 之 中 的 技术 ， 该 技 
术 展 示 了 一 个 云 服务 可 以 大 显 喘 手 的 领域 。 我 们 以 这 个 创新 技术 来 结束 
对 用 户 云 环境 的 简要 讨论 ， 原 因 是 ， 像 云 打印 这 样 的 技术 可 能 会 在 东 天 
产生 新 一 代 的 基于 云 的 控制 技术 ， 通 过 该 技术 ， 人 们 可 以 管理 家 硅 中 琳 
下 满 目的 家 电 和 设备 。 

Google 的 理念 是 通过 有 种 形式 的 云 服 务 来 管理 打印 机 。 用 户 可 以 通 
过 Google 账户 与 打印 设备 关联 起 来 。 当 用 户 回 打印 机 发 送 一 个 打印 作 
业 时 ， 计 算 机 访问 Google 的 打印 服务 ， 后 者 将 文件 转换 为 可 打印 格式 ， 
然后 发 送 给 打印 机 《〈 见 图 23.3) 。 








图 23.3 Google 甚至 可 以 通过 基于 云 的 服务 来 管理 你 的 打印 机 
乍 一 看 ， 这 个 概念 似乎 完全 没有 必要 。 从 本 质 上 来 看 ，Google 的 打 


印 服务 充当 的 是 一 个 打印 队列 或 打印 服务 器 ， 这 个 角色 可 以 由 普通 的 家 

用 计算 机 宫 无 难度 地 实现 。 然 而 ，Google 的 这 种 愿景 具有 一 些 优势 。 
按照 Google 的 说 法 ， 云 打印 服务 可 以 让 用 户 免 于 因为 安装 和 管理 打 

印 机 驱动 程序 而 宵 来 的 问题 ， 这 样 也 就 避免 了 很 多 常见 的 打印 机 排 错 场 


后 o 

服务 的 全 球 性 提供 了 与 SaaS 工具 类 似 的 好 处 : 用 户 可 以 在 一 个 远 
程 位 置 使 用 家 用 计算 机 的 打印 服务 ， 而 且 如 果 你 的 朋友 或 者 同事 得 到 了 
你 的 许可 ， 也 可 以 在 远程 位 置 来 使 用 你 的 家 用 计算 机 的 打印 服务 。 

注意 : 另外 一 个 打印 云 

HP 上 自己 也 有 基于 Web 的 打印 服务 ， 它 的 服务 于 Google 定 义 的 云 打印 
服务 略 有 不 同 ， 两 者 之 间 可 以 相互 取代 。HP ePrint 系 列 中 的 HP 打印 机 模 
型 具有 一 个 电子 邮件 地 址 ， 用 户 可 以 通过 电子 邮件 将 文档 发 送 到 打印 机 
的 邮件 地 址 ， 来 打印 文档 。 

Google 愿 景 的 完整 版 本 需要 一 台 云 就 绪 打 印 机 〈Cloud-Ready 
Printer，CRP) ， 它 看 起 来 就 是 一 人 台 网 络 就 绪 打 印 机 (network-ready 
printer) ， 它 内 置 了 TCP/IP 的 支持 和 其 他 必要 的 软件 ， 从 而 能 够 参与 到 
Google 的 云 打印 服务 中 。 如 果 打 印 机 不 满足 这 些 需求 ， 它 只 要 连接 到 一 
Google Chrome 浏 览 器 的 本 地 计算 机 ， 就 可 以 参与 到 云 打印 服务 


“如 果 Google 的 云 打印 服务 的 愿景 能 够 取得 成 功 ， 其 他 厂商 也 会 采取 
类 似 的 技术 ， 并 就 将 这 个 概念 进行 扩展 ， 以 包含 其 他 设备 ， 比 如 家 庭 召 
乐 中 心 或 厨房 用 具 。 




















23.3 IT 去 


对 IT 从 业 人 员 来 说 ， 本 章 前 面 讨论 的 技术 实际 上 是 对 常规 连 网 原理 
和 Web 服 务 技术 的 一 种 扩展 。 据 专家 所 说 ， 真 正 的 云 半 命 都 是 在 幕后 进 
行 的 。IT 云 服务 模型 已 经 改变 了 公司 和 政府 对 IT 服务 做 决定 的 方式 。 

如 今 的 IT 云 环 境 是 两 个 重要 发 展会 聚 的 产物 : 

> 虚拟 化 ; 

> 现代 数据 中 心 。 
下 面 的 小 结 将 讲解 这 些 重要 的 新 技术 ， 并 讨论 某 些 基础 云 服务 的 蔡 
尺 品 。 

23.3.1 理解 虚拟 化 


虚拟 化 是 在 计算 机 内 重新 创建 现实 世界 中 的 茶 种 类 型 的 对 象 或 进程 
的 行为 。 对 计算 机 内 的 虚拟 化 来 说 ， 一 个 第 见 的 用 途 束 是 虚拟 男 外 一 台 














计算 机 。 换 名 话说 ， 在 一 台 计 算 机 上 运行 的 一 个 进程 执行 真实 计算 机 的 
功能 ， 而 且 在 网 络 看 来 ， 该 进程 就 像 是 一 台 真 实 的 计算 机 。 这 个 虚拟 的 
计算 机 《或 者 是 虚拟 机 ) 能 够 运行 应 用 程序 ， 监 管 外 部 进程 ， 甚 至 可 以 
通过 它 自己 的 网 络 地 址 与 远程 计算 机 通信 。 

图 23.4 展 示 了 一 个 典型 的 虚拟 化 场景 。 运 行 虚 拟 机 的 计算 机 (具有 
真实 的 硬件 ) 被 称 为 主机 系统 (host system) 。 在 主机 上 运行 的 虚拟 计 
算 机 被 成 为 客户 系统 (guest system ) 。 

大 约 在 20 世 纪 60 年 代 ， 出 现 了 多 种 虚拟 化 技术 ， 但 是 只 有 当 计 算 机 
足够 快 、 足 够 强大 ， 并 且 能 够 文 持 密集 的 处 理 负载 〈 这 些 负载 与 作为 一 
个 内 部 进程 运行 的 整个 虚拟 计算 机 相关 联 ) 时 ， 这 一 概念 才 在 大 规模 生 
产 环境 中 具备 了 可 行 性 。 当 然 ， 主 机 系统 必须 运行 可 以 为 客户 系统 提供 
虚拟 环境 的 软件 ， 这 样 客 户 系统 才能 表现 为 如 同 在 真实 的 硬件 上 运行 。 











图 23.4 一 台 单 独 的 物理 计算 机 可 以 是 多 全 虚拟 客户 系统 的 主机 。 每 一 台 
从 机 作为 真实 的 计算 机 出 现在 网 络 上 


许多 三 商 提 供 了 适用 于 工业 环境 的 虚拟 机 软件 ， 其 中 包括 
VMware、KVM、Xen 和 Microsoft 的 Hyper-V。 由 于 下 面 几 个 原因 ， 虚 
拟 化 技术 在 最 近 几 年 逐渐 流行 起 来 。 

> 空间 : 通过 在 单 台 主机 上 运行 多 个 虚拟 计算 机 ， 可 以 减少 服务 
器 机 房 所 需要 的 面积 ， 从 而 节省 了 大 量 的 资金 ， 而 且 当 当 公 司 无 法 扩展 
器 服务 器 机 房 的 面积 时 ， 可 以 为 公司 提供 一 种 扩展 方法 。 

> 功率 : 推动 虚拟 化 趋势 的 部 分 原因 是 通用 费用 (utility costs) 。 
人 
很 多 。 

> 可 扩展 性 : 可 以 根据 需要 来 开启 和 停止 新 的 虚拟 系统 。 

> 安全 性 ;针对 入 侵 ， 虚 拟 提供 提供 了 额外 的 一 层 安 全 保护 ， 这 
样 ， 如 果 攻 击 者 进入 了 客户 系统 ， 一 种 沙 箱 类 型 的 安全 环境 也 可 以 阻止 




















入 侵 者 访问 主机 。 如 果 有 一 人 台 客 户 系统 不 断 受 到 威胁 ， 可 以 简单 地 将 其 
删除 和 替换 。 

> 兼容 性 虚拟 系统 可 以 运行 无 法 在 主机 上 运行 的 程序 。 例 如 ， 
针对 先前 的 Windows 版 本 创建 的 日 有 应 用 程序 无 法 在 当前 的 Windows 系 
统 中 运行 ， 但 是 可 以 运行 在 使 用 先前 操作 系统 的 虚拟 计算 机 上 。 

一 旦 你 开始 将 一 个 完整 的 计算 机 系统 当 作 像 计算 机 进程 一 样 的 东 
西 ， 它 不 会 占据 空间 ， 而 且 可 以 根据 需要 出 现 或 消失 ， 那 么 ， 你 就 为 目 
己 开 局 了 一 个 部 署 和 管理 计算 机 的 新 世界 。 

23.3.2 现代 交 心 的 兴起 


廉价 的 文件 存储 和 快速 的 Internet 连接 才 产 生 了 一 个 名 为 数据 中 心 
的 新 概念 ， 我 们 可 以 将 数据 中 心 看 作 一 个 存储 并 且 处 理 大 量 数据 的 地 
方 。 数 据 中心 通 常 是 充满 服务 器 和 存储 阵列 的 大 型 建筑 物 。 典 型 的 数据 
中 心 是 像 Google 或 Amazon 这 样 的 Internet 公 司 巨 头 ， 它 们 需要 放置 大 量 
的 数据 ， 而 且 这 些 数据 还 需要 方便 Internet 用 户 的 访问 。 

数据 中 心中 存放 着 物理 计算 机 系统 的 机 架 ， 每 一 个 系统 都 运行 多 个 
虚拟 计算 机 系统 。 而 且 整 个 基础 设施 设计 精良 ， 可 以 提供 容错 和 负载 均 
衡 〈 见 图 23.5) 。 虚 拟 系统 通常 跨 物 理 便 件 分 布 ， 以 均衡 服务 器 的 负 
载 。 在 某 些 情况 下 ， 物 理 可 以 通过 将 进程 移动 到 其 他 系统 ， 对 服务 器 过 
载 或 系统 性 能 恶化 做 出 响应 。 

当然 ， 数 据 中 心 需 要 连接 到 Internet 上， 而 且 公 众 还 可 以 通过 TCP/IP 
来 访问 和 编 址 数据 中 心 。 在 内 部 ， 数 据 中心 的 本 地 网 络 通常 使 用 专 有 的 
2 或 者 是 其 他 可 以 提供 数据 共享 和 存储 性 能 的 高 级 技 
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庆生 下- 


虚拟 机 实例 


图 23.5 在 数据 中 心 内 ， 虚 拟 机 实例 部 普 在 一 组 安装 在 机 架 上 的 服务 器 
上 ， 以 平衡 负载 
当代 I 数据 中 心 的 巨大 能 力 为 今天 我 们 熟知 的 开 云 产业 提供 了 一 个 
合适 的 计算 环境 。 
23.3.3 了 管 环境 
IT 云 服务 有 助 于 网 络 扩展 其 性 能 ， 而 且 在 某 些 情况 下 ， 它 们 为 不 想 
在 传统 的 服务 器 基 础 设施 上 进行 投资 的 公司 ， 提 供 了 一个 元 全 的 解决 方 


不 











为 了 理解 云 服务 的 发 展 ， 我 们 最 好 是 先 着 眼 于 Web 主 机 托管 行业 。 
在 过 去 几 年 ， 有 一 个 主流 行业 已 经 发 展 起 来 ， 它 以 为 公司 和 个 人 提供 主 
机 托管 的 网 站 为 服务 理念 。 你 无 须 购买 主机 的 服务 器 ， 并 给 其 分 派 一 个 
可 用 于 Internet 的 地 址 ， 你 只 要 像 主 机 托管 公司 支付 一 定 的 费用 ， 它 们 
就 会 为 你 托管 网 站 。 这 也 就 避免 了 所 有 与 配置 和 管理 硬件 相关 的 问题 
ne 
Web 内 容 。 

主机 托管 最 初 的 目标 只 是 将 客户 的 HTML 页 面 张贴 到 主机 托管 公司 
的 Web 服 务 器 上 上。 但是， 在 虚拟 化 时 代 ， 主 机 托管 公司 可 以 提供 一 个 新 
的 选项 : 虚拟 化 主机 托管 。 在 一 个 虚拟 的 主机 托管 场景 中 ， 客 户 租 用 一 
个 运行 在 提供 商 数据 中 心 内 部 某 处 的 一 个 完整 的 虚拟 计算 机 系统 。 然 后 
用 户 就 可 以 访问 这 个 完整 的 虚拟 计算 机 系统 ， 而 不 用 担心 管理 真实 的 便 
件 所 带 来 的 问题 。 第 一 个 虚拟 主机 托管 安排 通常 用 于 托管 Web 服 务 嚣 系 














统 。 由 于 客户 租用 的 是 一 个 完整 的 服务 器 系统 ， 因 此 从 理论 上 来 讲 ， 该 
系统 与 其 他 服务 器 没有 区 别 。 它 可 以 充当 数据 库 服务 器 ， 也 可 以 提供 某 
些 类 型 的 Web 服 务 解决 方案 。 客 户 对 系统 的 使 用 方式 具有 很 大 的 控制 力 
度 ， 因 此 可 以 通过 客户 公司 内 部 的 IT 职工 来 管理 该 系统 ， 而 且 这 样 要 比 
同 托 管 公司 支 付费 用 来 管理 系统 的 方式 更 为 便宜 。 但 是 ， 便 件 、Internet 
连通 性 和 容错 等 都 需要 由 主机 托管 公司 来 管理 。 

这 些 主机 托管 技术 可 以 用 作 IT 云 的 环境 。 

23.3.4 弹性 云 


早 在 几 年 以 前 ，Amazon 就 意识 到 ， 它 的 数据 中 心 有 大 量 的 额外 容 
量 ， 在 多 年 以 来 一 直 处 于 空闲 状态 。 只 所 以 设计 数据 中 心 ， 束 是 希望 在 
高 峰 时 段 〈 比 如 圣诞 节 假 期 ) 能 够 发 挥 其 功能 ， 应 对 用 户 的 大 量 订 单 ， 
而 在 一 年 的 其 他 时 间 ， 服 务 器 的 部 分 容量 却 处 于 闲置 状态 。 为 了 让 这 些 
额外 的 容量 有 用 武之 地 ，Amazon 在 2006 年 7 月 推出 了 Amazon Web 服 务 
(Amazon Web Service，AWS) 。AWS 开 启 了 云 开 的 新 纪元 。 

在 Amazon 的 AWS 的 中 心 ， 是 一 个 名 为 弹性 计算 云 (Elastic 
Compute Cloud，EC2) 的 服务 。Amazon 的 EC2 弹 性 云 服 务 可 以 让 用 户 
根据 需要 创建 和 部 署 虚拟 机 实例 。 该 服务 称 为 “弹性 的 ”， 是 因为 它 可 以 
轻易 扩展 ， 以 适应 客户 的 访问 高 峰 。 用 户 不 再 按照 月 度 或 年 度 来 租用 虚 
拟 服 务 器 ，EC2 可 以 以 每 小 时 为 基础 提供 不 同 规模 的 虚拟 服务 器 。 当 负 
载 提 升 时 ， 你 可 以 使 用 更 多 的 计算 机 空间 ， 而 当 负 载 回 落 时 ， 虚 拟 服 务 
器 就 可 以 退出 服务 ， 并 停止 计 费 〈( 见 图 23.6)。 
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图 23.6 在 一 个 弹性 云 场景 中 ， 当 需要 处 理 的 负载 超出 了 本 地 网 络 的 容量 
时 ， 过 量 的 负载 将 会 及 送 到 云 提 供 商 ， 然 后 所 供 商 安排 其 他 的 虚拟 机 实 
例 处 理 这 些 负载 


其 他 几 家 云 厂商 现在 也 提供 了 类 似 的 服务 。 这 些 服务 相当 流行 ， 原 
因 很 简单 : 用 户 只 有 在 使 用 这 些 服务 时 ， 才 付费 。 而 且 ， 客 户 的 家 许 网 
络 不 用 再 承担 最 大 的 工作 负载 。 本 地 网 络 可 以 回落 到 稳 态 的 流量 水 平 ， 
而 用 于 高 峰 服 务 的 额外 容量 则 由 云 来 提供 。 

现在 有 些 工 具 可 以 对 派生 这 些 虚 拟 机 实例 的 过 程 进行 管理 ， 并 扩展 
计算 机 性 能 〈power) ， 使 其 适应 不 断 扩 大 的 工作 负载 。Amazon 有 一 组 
围 经 着 EC2 云 的 其 他 服务 ， 其 中 包括 用 于 在 线 存储 的 简单 队列 《〈Simple 
Queue) 服务 和 简单 存储 服务 (Simple Storage Service) 。 像 Eucal yptus 
这 样 的 工具 提供 了 一 种 方法 来 管理 对 Amazon 云 的 访问 。 另 外 一 个 例子 
是 Rackspace 的 OpenStack 平 台 ， 它 最 初 是 用 于 文 持 Rackspace 上 自己 的 云 服 
务 。 其 他 几 家 厂商 也 提供 了 各 种 不 同类 别 而 且 可 以 扩展 的 云 服 务 。 

23.3.5 平台 

在 云 领 域 的 另外 一 问 还 存在 一 组 服务 ， 它 们 有 时 被 称 为 “平台 即 服 











务 (Platform as a Service，PaaS) ”工具 。 与 EC2 不 同 ， 这 些 工 具 不 能 
完全 派生 整个 虚拟 计算 机 ， 而 只 是 为 客户 的 应 用 程序 提供 一 个 可 以 在 云 
中 执行 的 平台 《〈 见 图 23.7) ， 而 且 用 户 无 法 看 到 具体 的 细 市 (例如 ， 用 
户 并 不 知道 使 用 的 是 什么 虚拟 机 ， 以 及 使 用 了 多 少 台 ) 。 客 户 基本 上 只 
是 提供 了 与 API 相 关 的 信息 ， 以 用 于 访问 服务 ， 而 且 大 多 数 服 务 都 文 持 
特定 的 编程 语言 。 例 如 ，Google 的 App Engine PaaS 服 务 可 以 支持 Python 
和 Java， 而 Microsoft 的 Azure 文 持 C#、Java、PHP 和 Ruby。 
与 弹性 云 服 务 一 样 ，PaaS 也 可 以 很 容易 地 根据 需要 进行 扩展 。 但 

是 ， 这 是 这 些 服务 只 能 对 特定 的 编程 工具 和 语言 起 作用 (通常 是 对 上 自 定 
义 的 应 用 程序 起 作用 ) ， 而 且 不 能 提供 通用 的 编程 解决 方案 。 
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图 23.7 平台 即 服务 ;客户 的 应 用 程序 在 云 中 运行 。 只 要 应 用 程序 符合 
API 的 要 求 ， 细 节 就 不 再 重要 
23.3.6 其 他 云 


其 他 的 开 云 介 于 纯 PaaS 选 项 (“只 需 将 你 的 应 用 程序 提供 给 我 们 ， 
其 他 的 事情 我 们 来 做 *”〉 和 纯 弹 性 云 〈 联 机 创建 和 部 署 虚拟 系统 ) 选项 





之 间 。 这 些 云 计 算 选 项 都 具有 高 度 可 扩展 性 的 特征 ， 而 且 都 依赖 于 数据 
中 心 技 术 ， 也 都 存在 不 同 程度 的 不 透明 性 〈 客 户 只 能 看 到 对 他 们 来 说 是 


尽管 前 面 几 节 描述 的 云 架 构 给 我 们 留 下 了 这 刻 的 印象 ， 而 且 它们 都 
是 通过 大 规模 的 在 线 服 务 提 供 商 〈 比 如 Amazon 和 Google) 来 部 署 ， 但 
是 这 些 技术 也 可 以 用 于 私有 网 络 。 有 些 公司 正 在 尝试 部 著 他 们 自己 的 云 
服务 基础 设施 ， 而 且 该 过 程 无 需 外 部 云 厂 疝 的 介入 。 


23.4 计算 的 未 来 


虚拟 化 、 数 据 中 心 和 云 技 术 的 广泛 使 用 ， 产 生 了 与 Internet 计 算 的 未 
来 有 关 的 有 趣 问 题 。 在 云 的 世界 中 ， 真 正 需要 在 客户 端 计 算 机 上 运行 的 
唯一 应 用 程序 是 Web 浏览 右 。 其 他 所 有 的 应 用 程序 ， 甚 至 像 打 印 这 样 的 
服务 ， 都 可 以 通过 云 服务 来 管理 。 

操作 系统 作为 传统 平台 来 运行 任意 程序 与 并 与 设备 进行 对 话 的 这 一 
传统 概念 ， 可 能 最 终 会 因为 客户 端 只 需要 文 持 一 个 浏览 右 ， 服 务 器 只 需 
要 运行 虚拟 机 ， 而 丧失 其 重要 性 地 位 。 运 行 特定 应 用 程序 的 客户 系统 可 
能 会 “瘦身 ?到 只 剩 下 必要 组 件 来 运行 程序 的 地 步 。 

随 着 操作 系统 重要 性 的 日 渐 褪 色 ， 真 正 发 挥 总 用 的 组 件 将 会 是 云 、 
浏览 器 、API、 用 户 的 眼睛 、 全 球 网 络 ， 以 及 网 络 中 使 用 的 优雅 而 且 非 
党 灵活 的 协议 系统 : TCP/IP。 


23.5 小 结 


云 计 算 使 用 虚拟 化 、 高 带宽 的 连接 ， 以 及 现代 数据 中 心 的 威力 ， 来 
在 Internet 上 提供 应 用 程序 的 处 理 和 复杂 的 服务 ， 而 且 其 细节 是 对 用 户 
来 说 是 看 不 见 的 。 本 章 讲解 了 一 些 流行 的 用 户 云 服务 (比如 Google 的 应 
用 程序 ) ， 以 及 基于 云 的 存储 和 备份 工具 。 此 外 ， 还 讲解 了 实验 中 的 云 
服务 〈 比 如 云 打印 ) 。 本 章 还 讨论 了 IT 云 服务 模型 ， 比 如 弹性 云 和 * 服 
务 即 平台 ”模型 。 


23.6 问 与 答 


问 : 主机 系统 和 客户 系统 的 区 别 是 什么 ? 

答 : 在 虚拟 化 环境 中 ， 客 户 系统 是 一 人 台 作 为 一 个 进程 运行 在 另外 一 
he 0 
行 虚 以 系 Oo 





























问 : 传统 的 Web 主 机 托管 和 虚拟 主机 托管 的 区 别 是 什么 ? 

答 : 在 传统 的 Web 主 机 托管 场景 中 ， 客 户 将 HIML 页 面 和 相关 的 文 
件 上 载 到 主机 托管 提供 商 ， 然 后 由 提供 商 来 管理 服务 器 系统 。 在 虚拟 主 
机 托管 场景 中 ， 主 机 托管 提供 商 为 客户 提供 的 是 一 个 完全 虚拟 的 系统 。 


23.7 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 则 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 

23.7.1 问题 

1. 为 什么 SaaS 在 移动 时 代 开 始 流 行 起 来 ? 

2. 我 有 个 朋友 目前 正在 立陶宛 毒 箭 ， 他 想 直接 使 用 我 的 家 用 打印 
机 来 打印 他 的 假期 照片 ， 这 可 行 么 ? 

3. 我 们 公司 的 网 站 流量 有 时 会 超出 我 们 本 地 服务 器 农场 的 容量 ， 
我 应 该 是 使 用 一 个 弹性 云 解决 方案 呢 ， 还 是 使 用 PaaS 呢 ? 

4. 在 我 们 的 本 地 系统 中 持续 运行 的 一 个 大 规模 Java 应 用 程序 占用 
了 大 部 分 的 处 理 空间 。 我 应 该 使 用 哪 种 云 技术 来 解决 这 个 问题 昵 ? 

23.7.2 练习 

为 了 对 SaaS 先 睹 为 快 ， 我 们 尝试 一 个 流行 的 SaaS 工 具 集 ， 它 的 名 
字 是 Google Docs。 在 浏览 器 中 输入 地 址 : http://docs.google.com。 

在 Google Docs 的 站 点 上 ， 单 击 Try Google Docs Now 按 钮 。Google 
Docs 演 示 站 点 进入 到 字 人 处 理 程序 中 。 单 击 顶 部 菜单 栏 中 的 Spreadsheet 或 
Drawing 按 钮 ， 来 试用 一 下 电子 表格 和 绘图 工具 。 单 击 右 上 角 的 Get 
Started 按 钮 ， 创 建 自己 的 Google Docs 账 户 。 














23.8 关键 术语 


复习 下 列 关键 术语 ， 

> 云 计算 ， 一 组 用 来 提供 在 线 服务 的 宽泛 技术 ， 而 且 所 提供 的 在 
线 服务 可 以 最 大 程度 地 降低 用 户 端的 复杂 度 。 

> 数据 中 心 ， 用户 在 线 数据 存储 的 一 个 大 型 设施 。 在 云 计算 产业 
中 ， 现 代数 据 中 心 是 一 个 重要 的 组 件 。 

> 弹性 云 ， 一 个 云 服务 ， 可 以 根据 不 断 变化 的 需求 提供 可 以 轻易 
扩展 的 处 理 能 


> 客户 系统 : 作为 男 外 一 台 计 算 机 内 的 一 个 进程 来 运行 的 虚拟 系 


> 主机 系统 : 一 合 物理 的 基于 人 硬件 的 计算 机 ， 用 来 充当 虚拟 客户 
系统 的 主机 。 

> 平台 即 服务 (PaaS) : 将 用 户 的 应 用 程序 以 基于 云 的 形式 来 执 
行 的 一 种 服务 。 

> 软件 即 服务 〈SaaS) ; 一 组 在 线 工 具 ， 而 且 它 提供 的 服务 与 普 
通 的 果 面 应 用 程序 相似 。 
> 虚拟 化 : 在 一 人 台 计 算 机 内 重新 创建 真实 世界 中 的 对 象 或 进程 的 
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本 章 介 绍 如 下 内 容 : 

> 运转 中 的 TCP/IP; 

> 网 络 管理 员 的 生活 。 

本 书 前 面 的 章节 介绍 了 很 多 构成 TCP/IP 网 络 的 重要 组 件 。 在 本 章 











中 ， 你 将 在 真实 情景 中 《尽管 是 假设 的 ) 观 奈 这 些 组 件 。 学 完 本 章 后 ， 
你 将 能 够 叙述 TCP/P 网 络 的 各 个 组 件 是 如 何 相互 作用 的 。 


24.1 Hypothetical 公 司 简 史 


Hypothetical 公 司 是 一 家 大 型 公司 。 该 公司 白手 起 家 ， 并 多 次 夸大 那 
个 初始 课 赋 ( 即 白手 起 家 ) 。 自 从 1987 年 成 立 以 来 ，Hypothetical 公 司 一 
直 致 力 于 假想 (hypothetical) 的 生产 和 和 销售。 该 公司 的 宗旨 是 : 

不 管 购买 者 愿意 出 什么 价 ， 随 时 创造 和 销售 最 佳 的 假想 。 

为 了 顺应 经 济 发 展 的 趋势 ，Hypothetical 公 司 也 于 近期 开始 转型 ， 日 
前 该 公司 的 战略 焦点 是 对 其 自身 进行 调整 ， 使 得 假想 被 认为 是 一 种 服 
务 ， 而 不 是 一 个 产品 。 这 个 从 表面 上 看 来 无 伤 大 雅 的 改变 ， 已 经 在 执行 
方面 产生 了 严厉 而 偶 激 的 度量 标准 ， 而 且 那 些 度 量 标准 的 混乱 结果 ， 已 
经 导致 员工 士气 低下 ， 并 且 增 长 了 对 小 型 商业 物质 的 偷 禄 。 

一 个 由 总 裁 、 副 总 裁 、 业 务 主 管 和 总 裁 的 侄子 〈 他 在 邮件 室 工作 ) 
组 成 的 士气 委员 会 分 析 了 不 满 的 状态 ， 并 且 赞 成 该 公司 长 期 以 来 拒绝 计 
算 机 的 政策 必须 终止 (该 公司 的 官方 格言 是 :“ 在 石 嚣 时代， 就 可 以 得 
到 我 在 商业 上 取得 成 功 所 需 的 一 切 。” 那 个 拒绝 计算 机 的 政策 是 其 自然 
结果 ， 但 即使 是 在 假想 行业 这 个 不 冷 不 热 的 穷 乡 售 壤 内 ， 该 政策 仍 被 认 





为 是 时 代 性 的 错误 ) 。 

该 委员 会 成 员 《〈 其 中 一 些 人 是 在 公共 部 门 内 获得 其 技能 的 ) 投票 决 
定 ， 立 即 以 一 个 批量 折扣 价 ， 购 买 1000 台 不 同型 号 的 计算 机 ， 并 设想 系 
统 或 便 件 的 所 有 差异 稍 后 都 会 得 到 解决 。 

他 们 把 那 1000 台 计算 机 放置 在 该 公司 分 散 的 房间 和 董事 会 会 议 室 
内 的 办 公 果 及 工作 台 上 ， 并 使 用 能 够 适合 那些 不 同型 号 适 配 费 端口 的 任 
何 数 据 传 输 介质 ， 把 它们 连接 在 一 起 。 令 他 们 吃惊 的 是 ， 所 组 成 网 络 的 
性 能 并 不 在 可 接受 的 范围 之 内 。 实 际 上 ， 这 个 网 络 根本 不 满足 要 求 ， 于 
是 该 公司 开始 找 人 来 修复 该 问题 ， 人 否则 将 整个 惨败 承担 贡 任 。 


24.2 Maurice 生 命中 的 7 


Maurice 始终 坚信 他 会 找到 一 份 工作 。 在 很 小 的 时 候 ， 他 就 已 经 会 
改编 他 的 “糖果 运动 边 唱 边 踩 脚 ”(Candy Kinetic Sing-and-Stomp) 舞蹈 
热 来 演奏 德 湛 夏 元 的 新 世界 交 啊 曲 ， 而 且 从 那 时 起 ， 他 便 已 经 在 完成 计 
算 机 领域 不 可 能 之 事 方 面 显 示 出 非 几 的 才能 。 但 是 ， 他 实际 上 并 没有 想 
到 ， 在 毕业 后 这 么 快 就 会 找到 一 份 工作 。 他 当然 没有 预料 到 ， 在 他 停 下 
来 想 要 借用 而 所 而 随意 选择 的 公司 办 公 室 里 ， 会 磁 到 一 次 面试 。 虽 然 ， 
如 果 有 后 知之 明 的 话 ， 他 当时 应 该 认识 到 ， 这 可 不 是 一 个 有 上 升 趋势 的 
工作 ， 但 是 他 太 年 轻 了 ， 以 至 于 轻率 地 接受 了 担任 Hypothetical 公 司 网 络 
管理 员 的 工作 。 他 告诉 那些 会 见 者 ， 他 根本 没有 经 验 ， 但 是 他 们 似乎 并 
不 介意 ， 并 且说 ， 他 缺少 经 验 正 好 ， 因 为 那样 他 们 就 可 以 少 付 一 些 薪 水 
给 他 了 。 他 们 没有 请 他 出 去 ， 反 而 立刻 把 一 张 W-4 表 放 在 他 面前 ， 并 递 
给 他 一 文笔 ( 译 者 注 : 当 一 个 人 开始 在 美国 工作 时 ， 他 需要 填写 W-4 
表 ， 其 中 包括 姓名 、 社 会 安全 号 码 及 被 抚养 人 数 ， 在 发 工资 时 ， 会 根据 
申报 的 被 抚养 人 数 确 定 要 扣除 的 税 款 ， 工 资 里 还 需 扣 除 社会 安全 基金 和 
医疗 保险 等 ) 。 
当然 ， 他 还 购买 了 本 书 。 通 过 学 习 本 书 ， 他 对 TCP/IP 有 了 一 个 全 面 
认识。 

外 一 大 开工 

当 Maurice 第 一 天 来 上 班 时 ， 他 就 知道 ， 他 的 首要 目标 肯定 就 是 要 
把 所 有 那些 计算 机 连接 到 网 络 上 。 一 份 快 捷 的 产品 清单 显示 ， 那 些 计算 
机 包括 一 些 DOS 和 Windows 机 器 、 一 些 Linux 计 算 机 、 一 些 苹 果 机 、 几 
台 UNIX 机 器 以 及 其 他 一 些 他 甚至 不 认识 的 计算 机 。 

由 于 这 个 网 络 应 该 是 在 Internet 上 的 (士气 委员 会 的 几 项 士气 提升 
音 施 需要 访问 不 知名 的 娱乐 网 站 ) ，Maurice 知 道 该 网 络 将 需要 使 用 
TCP/P。 他 执行 了 一 次 快速 检查 ， 来 看 网 络 上 的 计算 机 是 否 已 经 运行 了 























TCP/IP。 例 如 ， 他 在 Windows 计 算 机 上 使 用 IPConfig 工 具 来 输出 TCP/IP 
参数 。 在 UNIX 和 Linux 机 器 上 ， 他 使 用 的 是 ifconfig 命 令 。 

在 大 多 数 情 况 下 ， 他 发 现 TCP/IP 确 实在 运行 着 ， 但 是 令 他 惊讶 的 
是 ， 他 发 现 IP 地 址 的 分 配 完全 是 混乱 的 。 那 些 地 址 似乎 是 随机 选择 的 。 
没有 哪 两 个 地 址 有 任何 相似 的 、 可 能 已 经 用 作 网 络 ID 的 位 数 。 每 一 台 
计算 机 都 认为 自己 是 在 一 个 单独 的 网 络 上 ， 而 且 由 于 没有 为 任何 一 台 计 
算 机 指定 默认 网 关 ， 该 网 络 之 内 和 之 外 的 通信 都 非常 受 限制 。Maurice 
问 他 的 主管 人 《在 邮件 室 工 作 的 总 裁 侄 子 ) ， 是 否 已 经 为 该 网 络 指定 了 
某 个 Internet 网 络 ID。Maurice 猜 想 ， 该 网 络 一 定 有 某 个 预先 指定 的 网 络 
ID， 因 为 该 公司 有 一 个 到 Internet 的 回 定 连 接 。 但 是 总 裁 侄 子 说 ， 他 不 知 
道 什 么 是 网 络 ID。 

Maurice 问 总 裁 的 侄子 ， 那 些 因 为 卖 给 他 们 这 1000 台 计算 机 而 获 利 
的 零售 商 们 ， 是 耕 配 置 过 这 些 计算 机 中 的 某 一 台 。 总 裁 的 侄子 说 ， 他 们 
在 争论 着 合同 而 突然 离开 办 公 室 之 前 ， 配 置 了 一 人 台 计 算 机 。 和 总 裁 的 侄子 
将 Maurice 带 到 那 台 获 利 零售 商 们 已 经 配置 过 的 计算 机 前 。 它 有 两 根 计 
算 机 电缆 接 出 来 : 一 根 到 公司 网 络 ， 一 根 到 Internet。 

“一 个 多 宿主 系统 ，”Maurice 说 。 总 裁 的 侄子 似乎 没有 特别 在 
意 。“ 这 人 台 计 算 机 可 以 充当 网 关 ，”Maurice 告 诉 他 ,，“ 它 可 以 把 信息 路 由 
到 Internet， 直 到 我 们 购买 了 新 的 专用 设备 来 取代 它 。” 

总 裁 的 侄子 看 上 去 不 是 很 有 耐心， 和 希望 立即 切换 到 一 个 他 而 不 是 
Maurice 掌 握 更 多 知识 的 话题 。 那 台 计算 机 好 像 是 一 个 过 去 的 Windows 
NT 系统 。Maurice 考 虑 是 否 告诉 总 裁 的 侄子 ， 他 从 未 听 说 过 有 人 使 用 一 
台 多 和 窒 主 的 Windows NT 计算 机 作为 某 个 公司 网 关 ， 许 多 专家 都 把 这 种 
事 称 作 是 “真正 敷 入 的 配置 "。 如 果 当 时 购买 了 一 台 网 关 路 由 器 ， 结 果 就 
会 比较 好 。 但 是 ， 这 是 他 第 一 天 工作 ， 因 此 没有 提出 自己 的 建议 。 计 算 
机 毕竟 是 可 以 充当 路 由 器 的 ， 只 要 它 被 配置 为 用 于 IP 转 发 。 一 根 以 太 网 
电缆 从 那 台 网 关 计 算 机 引 回 网 络 的 其 余部 分 。Maurice 对 此 计算 机 快速 
执行 了 一 下 IPConfig， 获 得 了 其 以 太 网 适配器 的 IP 地 址 。 他 预感 ， 获 利 
零售 商 应 当 在 汐 走 之 前 ， 己 经 在 这 台 计 算 机 中 配置 了 正确 的 网 络 D。 这 
里 的 人 P 地 址 是 198.100.145.1。 

根据 那个 点 分 十 进 制 地 址 的 第 一 个 数字 〈198) ，Maurice 知 道 这 是 
一 个 C 类 网 络 。 在 C 类 网 络 上 ， 前 3 个 字 节 构成 网 络 ID。 “这 里 的 网 络 ID 
是 198.100.145.0，” 他 告诉 总 裁 的 侄子 。 他 还 检查 了 TCP/P 配 置 ， 以 确保 
IP 转 发 功能 已 经 启用 。 

Maurice 想 到 ， 根 据 C 类 地 址 空间 中 的 可 用 主机 ID， 该 网 络 将 只 能 
持 254 台 计算 机 。 但 是 他 推断 ， 那 可 能 不 会 是 什么 问题 ， 因 为 反正 许多 
用 户 都 并 不 想 要 他 们 的 计算 机 ， 因 此 不 太 可 能 会 有 超过 254 名 用 户 同时 












































在 某 一 时 刻 访 问 该 网 络 。 他 为 士气 委员 会 成 员 这 样 配 置 卫 地 址 : 
198.100.145.10 (总 裁 ) 

198.100.145.3 ( 副 总 裁 ) 

198.100.145.8 (业务 主管 ) 

198.100.145.5〈 总 裁 的 侄子 ) 

他 接着 为 其 他 计算 机 配置 了 主机 ID。 他 还 输入 那 台 网 关 计 算 机 的 地 
址 〈198.100.145.1) 作为 默认 网 关 ， 从 而 信息 和 请 求 可 以 被 路 由 到 公司 
网 络 之 外 。 对 于 每 一 个 耳 地 址 ， 他 都 使 用 了 C 类 网 络 的 标准 网 络 撼 码 ; 
255.255.255.0。 而 且 C 类 网 络 的 这 24 个 网 络 位 在 无 类 域 间 路 由 (CIDR) 
地 址 模式 中 会 以 198.100.145.0/24 的 形式 出 现 。 

Maurice 使 用 ping 工 具 测 试 该 网 络 。 在 每 一 人 台 计 算 机 上 ， 他 都 输入 
ping 和 网 络 上 另 一 台 计 算 机 的 地 址 。 例 如 ， 在 计算 机 198.100.145.155 
上 ， 他 输入 ping 198.100.145.5， 以 确保 这 台 计 算 机 的 用 户 能 够 与 总 裁 的 
侄子 通信 。 同 时 ， 作 为 好 习惯 ， 他 还 总 是 ping 这 里 的 默认 网 关 : 

ping 198.100.145.1 
是 2 他 都 接收 来 自 目的 计算 机 的 应 答 ， 确 保 连 接 能 够 

常 工 作 。 

Maurice 当时 想 ， 这 个 网 络 的 配置 根本 不 需要 一 天 时 间 ， 并 且 他 感 
觉 这 将 是 一 份 轻而易举 而 且 有 利 可 图 的 工作 ， 但 是 没 想 到 ， 他 配置 的 最 
后 一 台 计 算 机 竟然 无 法 ping 通 网 络 上 的 其 他 计算 机 。 在 一 番 仔 细 探 究 之 
后 ， 他 注意 到 该 计算 机 好 像 属 于 一 个 完全 不 同类 型 的 物理 网 络 。 有 人 曾 
经 试图 通过 在 那个 过 时 的 无 名 网 络 适 配器 的 端口 中 插入 一 根 10BASE-2 
以 太 网 电费， 来 将 它 与 网 络 的 其 余部 分 连接 起 来 。 而 在 那 根 电缆 不 合适 
时 ， 那 家 伙 使 用 一 颗 钉 子 跳 线 ， 并 且 用 了 特别 多 的 布 基 胶 带 把 整个 组 装 
部 件 缠 起 来 ， 使 得 它 看 上 去 好 像 是 在 “阿波 罗 13” 上 使 用 过 的 东西 似 的 。 

“明天 再 说 ，”Maurice 说 。 

第 三 天 分 息 

第 二 天 Maurice 来 上 班 时 ， 他 带 来 了 自己 将 会 用 到 的 东西 : 路 由 
器 。 而 尽管 他 提前 到 了 ， 但 是 仍然 有 许多 用 户 已 经 不 能 忍受 他 了 。 “这 
个 网 络 到 底 出 了 什么 事 ? ”他 们 说 ,，“ 这 实在 是 太 慢 了 ! ” 

Maurice 告诉 他 们 ， 他 还 没有 完成 。 网 络 可 以 使 用 了 ， 但 是 大 量 设 
备 都 直接 抢 着 使 用 传输 介质 ， 就 使 得 速度 非常 慢 。 而 且 ， 一 些 针 对 不 同 
网 络 架 构 配置 的 计算 机 《例如 前 一 天 最 后 他 发 现 的 那 台 计算 机 ) 无 法 直 
接 与 其 他 计算 机 进行 通信 。Maurice 在 关键 位 置 安装 了 一 些 路 由 器 ， 从 
而 它们 可 以 减少 网 络 流量 ， 以 及 把 不 同 物理 架构 的 网 络 元 素 整合 在 一 
起 。 当 然 ， 他 必须 找到 一 台 路 由 器 支持 前 面 所 说 的 那个 过 时 的 架构 ， 但 
是 这 并 不 困难 ， 因 为 Maurice 有 许多 接线 。 








Maurice 还 知道 ， 划 分 一 些 子 网 会 比较 适宜 。 他 决定 把 C 类 网 络 ID 之 
后 的 那 最 后 8 位 分 开 ， 从 而 可 以 使 用 3 位 作为 子 网 号 ， 其 余 5 位 作为 那些 
子 网 上 的 主机 ID。 

为 确定 子 网 掩 码 ， 他 写 出 一 个 8 位 二 进 制 数 (表示 那 最 后 八 位 字 
节 ) ， 前 3 位 〈 子 网 位 ) 为 1， 其 余 位 〈 主 机 位 ) 为 0: 

11100000 

因此 ， 子 网 掩 码 的 最 后 八 位 字 节 是 32+64+128 或 224， 从 而 完整 的 子 
网 手 码 为 255.255. 255.224。 

Maurice 为 他 新 划分 的 网 络 添加 新 的 子 网 掩 码 ， 并 相应 地 分 配 IP 地 
址 。 他 在 分 配 IP 地 址 时 ， 注 意 为 菜 一 段 上 的 所 有 计算 机 分 配 相 同 的 3 个 
子 网 位 。 他 还 更 改 了 许多 计算 机 上 的 默认 网 关 值 ， 因 为 最 初 的 网 关 不 再 
位 于 相应 的 子 网 上 。 对 于 连接 到 某 个 路 由 器 端口 的 子 网 上 的 计算 机 ， 他 
转 而 使 用 该 路 由 器 端口 的 耳 地 址 作为 默认 网 关 。 

通过 这 个 掩 码 ， 他 可 以 很 容易 地 发 现 ， 地 址 的 网 络 部 分 和 子 网 部 分 
是 8+8+8+3=27 位 ， 也 就 是 CIDR 的 前 缀 是 /27。 子 网 范围 的 3 位 提供 了 8 
种 可 能 的 位 组 合 。 尽 管 有 些 路 由 喜 支 持 全 0 和 全 1 的 子 网 位 ， 但 是 一 般 不 
建议 使 用 。 在 CIDR 表 示 法 中 ， 子 网 是 由 地 址 范围 中 处 于 最 右 侧 的 八 位 
字 节 来 确定 的 ， 而 且 后 面 跟 着 CIDR 前 级 /27。 他 通过 改变 最 后 一 个 八 位 
字 节 中 的 3 个 子 网 位 确定 了 最 低 的 地 址 ， 如 下 所 示 : 

位 值 子 网 

00100000 32 198.100.145.32/27 

01000000 64 198.100.145.64/27 

01100000 96 198.100.145.96/27 

10000000 128 198.100.145.128/27 

10100000 160 198.100.145.160/27 

11000000 192 198.100.145.192/27 

Maurice 为 分 段 后 的 子 网 添加 了 子 网 掩 码 ， 并 分 派 了 IP 地 址 。 在 所 
分 派 的 IP 地 址 中 ， 其 中 的 3 个 子 网 位 在 处 于 同一 子 网 中 的 所 有 计算 机 
上 ， 是 相同 的 。 他 还 改变 了 许多 计算 机 上 的 默认 网 关 值 ， 原 始 因 为 最 初 
的 网 关 已 经 不 在 子 网 上 。 他 使 用 一 个 路 由 器 端口 (该 端口 与 子 网 连接 ) 
的 IP 地 址 作为 子 网 中 计算 机 的 默认 网 关 。 

第 三 天 : 动态 地 址 

网 络 现在 运行 得 很 好 ，Maurice 也 因此 而 获得 了 很 好 的 名 声 。 有 人 
其 至 建议 他 作 士 气 委员 会 候选 人 。 然 而 ， 那 个 总 裁 的 侄子 对 此 观点 持 有 
异议 。 他 说 ，Maurice 不 适合 士气 委员 会 或 任何 委员 会 ， 因 为 到 目前 为 
止 ， 他 尚未 达到 他 的 工作 目标 。 士 气 委 员 会 明确 规定 ， 该 公司 网 络 应 该 
有 1000 台 计算 机 ， 而 迄今 为 止 ，Maurice 给 了 他 们 一 个 只 有 256 台 计算 机 





























的 网 络 。“ 如 果 士 气 委员 会 的 指示 被 急 视 ， 我 们 如 何 能 够 指望 士气 会 改 
善 呢 ? ”他 补充 道 。 

注意 : 更 少 的 地 址 

实际 上 ， 在 第 二 天 进行 的 子 网 划分 增 增 加 了 不 可 用 地 址 的 数量 。 现 
在 网 络 只 有 245 个 地 址 。 在 子 网 内 ， 实 际 可 用 的 地 址 数量 不 是 不 是 2n， 
而 是 〈2n-2) ， 其 中 mn 是 地 址 中 的 主机 ID 位 数 。Maurice 觉 得 没有 必要 把 
这 个 事实 告诉 总 裁 的 侄子 。 

但 是 ，Maurice 如 何 能 够 使 用 少 于 254 个 的 主机 ID， 让 1000 台 计算 机 
访问 Internet 呢 ? 他 的 第 一 步 是 向 总 裁 的 侄子 指出 ， 如 果 想 让 1000 台 计 
算 机 同时 出 现在 网 络 上 ， 则 会 让 充当 Intemet 网 天 的 多 答 主 Windows NT 
系统 因为 无 法 承受 其 负担 而 月 涡 。 因 此 总 裁 的 侄子 被 迫 将 该 缺陷 报告 给 
了 士气 委员 会 ， 而 且 会 上 一 致 同 意 购买 一 台 最 先进 的 路 由 器 /网 关 设 
备 。 他 们 通过 减少 食堂 里 的 沙拉 的 分 量 ， 而 同时 保持 其 价格 不 变 的 情况 
下 ， 筹 足 了 购买 设备 的 费用 。 

这 台新 买 的 路 由 器 通过 DHCP 提 供 了 动态 IP 地 址 的 分 配 功 能 。 而 且 
该 设备 还 具有 NAT 功 能 ， 这 意味 着 Maurice 可 以 对 网 络 进 行 设置 ， 使 其 
使 用 私有 的 、 不 可 路 由 的 地 址 空间 ， 这 样 他 就 可 以 搞定 1000 台 计 算 机 
的 地 址 了 。 他 对 DHCP 服务 器 进行 了 配置 ， 使 其 提供 从 10.0.0.0 一 
10.255.255.255 私 有 地 址 范围 之 内 的 地 址 。 对 去 往 Internet 的 流量 ， 路 由 
器 会 将 其 私有 地 址 转换 为 上 面 提 到 的 可 以 在 Internet 上 使 用 的 真实 地 址 
《该 地 址 由 Internet 服 务 提 供 商 来 提供 ) 。 

将 路 由 堪 配 置 为 DHCP 服 务 器 比较 容易 ， 至 少 对 于 Maurice 来 说 是 如 
此 ， 因 为 他 仔细 了 阅读 了 有 关 文 档 ， 而 且 不 惧 于 在 Web 上 寻求 帮助 〈 他 需 
要 确认 的 是 ， 他 在 第 二 天 安装 并 配置 的 内 部 路 由 器 能 够 传递 DHCP 信 
恩 ) 。 这 里 的 困难 部 分 是 ， 手 动 配置 那 1000 台 计算 机 中 的 每 一 台 ， 以 访 
问 DHCP 服 务 器 ， 并 且 动 态 地 接收 IP 地 址 。 要 想 在 一 天 8 小 时 内 配置 这 
1000 计 算 机 ， 他 必须 每 小 时 配置 125 台 计算 机 ， 或 者 是 每 分 钟 两 台 多 一 
点 。 这 对 任何 人 来 说 ， 几 乎 是 不 可 能 的 ， 但 是 Maurice 除 外 。 他 赶 在 下 
午 6 点 的 公共 汽车 到 来 之 前 及 时 完成 了 。 

第 四 天 : 域名 解析 

Maurice 意 识 到 ， 他 为 此 网 络 草率 进行 的 动态 地 址 分 配 配置 ， 留 下 
了 一 些 未 解决 的 冲突 。 除 了 Hypothetical 公 司 外 ， 其 他 任何 公司 都 不 会 出 
现 这 些 冲 突 ， 它 们 实际 存在 而 且 十 分 严重 。 

公司 忆 裁 私下 告知 Maurice， 他 期 望 自己 (公司 中 级 别 最 高 的 官 
员 ) 的 计算 机 能 拥有 在 数字 上 最 低 的 卫 地 址 。Maurice 从 来 没有 上 听 说 过 
这 样 的 要 求 ， 而 且 在 他 的 所 有 资料 中 都 无 法 找到 参考 ， 但 是 他 同 总 裁 保 
证 ， 这 不 会 是 什么 问题 。 他 简单 得 将 总 裁 的 计算 机 配置 为 使 用 静态 IP 
































地 址 10.10.0.2， 并 且 将 把 总 裁 的 地 址 排除 在 DHCP 服 务 器 分 配 的 地 址 范 
围 之 外 。Maurice 补 充 道 ， 他 希望 总 裁 能 够 理解 ， 不 乱 动 网 关 路 由 器 内 
部 接口 配置 的 重要 性 ， 该 网 关 路 由 器 具有 更 低 的 地 址 :10.0.0.1( 实 际 
上 ，Maurice 可 以 将 该 地 址 修改 为 更 高 的 地 址 ， 但 是 他 不 想 这 么 做 〉。 
总 裁 说 ， 他 不 会 介意 是 否 有 计算 机 拥有 更 低 的 卫 地 址 ， 只 要 该 计算 机 不 
属于 别 的 员工 就 行 。 他 只 是 不 希望 有 人 拥有 比 他 的 地 址 更 低 的 IP 地 址 。 

对 于 没有 其 他 高 层 管理 人 员 在 这 种 可 悲 的 虚荣 心 之 梯 上 要 求 其 各 自 
位 置 的 网 络 ，Maurice 和 总 裁 之 间 的 商定 将 不 会 对 它 的 进一步 发 展 造成 
任何 阻碍 。 给 副 总 裁 和 业务 主管 分 配 较 低 的 IP 地 址 也 很 容易 ， 但 是 一 群 
中 层 管理 人 员 (没有 人 比 其 他 人 更 高 或 更 低 ) 开始 争吵 谁 的 计算 机 将 是 
10.10.0.33， 谁 的 将 是 10.10.0.34。 最 后 ， 该 管理 班子 被 迫 转 移 到 一 家 网 
在 那里 ， 他 们 解决 了 相互 之 间 的 问题 ， 并 且 以 友爱 开始 每 一 

在 此 期 间 ，Maurice 实 施 了 一 项 他 知道 他 们 会 接受 的 解雇 方案。 他 
架 起 一 台 DNS 服 务 器 ， 从 而 每 一 台 计 算 机 都 可 以 通过 名 称 而 不 是 地 址 进 
行 识别 。 每 一 名 管理 人 员 都 有 机 会 为 其 各 自 的 计算 机 选择 主机 名 。 于 
是 ， 和 里 份 的 度量 标准 将 不 再 是 谁 拥 有 在 数字 上 最 低 的 计算 机 地 址 ， 而 是 
谁 拥有 最 新 颖 的 主机 名 。 中 层 管理 人 员 主 机 名 的 一 些 示 例 包 括 : 

广 Gregor 

> wempy 

> righteous_babe (正义 宝贝 ) 

> Raskolnikov〔 拉 斯 柯 尔 尼 科 夫 ，《 罪 与 刊 》 的 主人 公 ) 

DNS 服 务 器 的 出 现 ， 还 使 该 公司 离 其 长 期 目标 完全 的 Internet 访 
问 ， 更 近 了 一 步 。 这 台 DNS 服 务 器 (通过 其 与 其 他 DNS 服 务 器 的 连接 ) 
使 得 该 公司 能 够 完全 访问 Internet 主 机 名 ， 例 如 在 Internet URL 中 使 用 的 
那些 。 

Maurice 还 花 几 分 钟 申请 了 一 个 域名 ， 从 而 使 得 该 公司 有 天 一 日 将 
能 够 在 万 维 网 上 通过 其 自己 的 网 页 销售 它 的 假想 。 

第 五 天 : 防火 墙 

尽管 最 近 取 得 了 那么 多 联网 成 果 ， 但 是 该 公司 的 士气 仍然 很 低 。 员 
工 们 就 像 去 看 电影 的 人 因 影 片 糟糕 而 退场 似 的 ， 快 速 地 辞职 和 离开 。 这 
些 员工 中 的 许多 人 都 知道 公司 网 络 的 秘密 ， 因 此 管理 人 员 担 心 那 些 心怀 
不 满 的 人 ， 可 能 会 采取 网 络 破 坏 行为 作为 某 种 报复 。 管 理 人 员 要 求 
Maurice 实 施 某 项 计划 ， 使 得 网 络 资源 得 到 保护 ， 但 是 网 络 用 户 仍 可 以 
尽 可 能 完全 地 访问 本 地 网 络 以 及 Internet。Maurice 问 预算 情况 ， 而 他 们 
告诉 他 ， 他 可 以 从 咖啡 机 旁 的 负 子 里 拿 点 零钱 。 

Maurice 卖 挥 了 那 1000 台 计算 机 中 的 大 约 50 台 ， 并 使 用 所 得 的 钱 球 





























购买 了 一 个 商业 防火 墙 系统 ， 它 将 保护 该 公司 网 络 免 受 外 部 攻击 〈( 那 50 
台 计 算 机 完全 没有 使 用 过 ， 而 且 一 直 阻 塞 着 通 向 服务 入 口 的 走 万 。 大 楼 
管理 员 至 少 有 6 次 想 要 扎 掉 它们 了 )〉。 该 防火 墙 提供 许多 安全 特性 ， 但 
是 最 重要 的 一 个 特性 是 ， 它 允许 Maurice 封 闭 TCP 和 UDP 端口 ， 以 阻止 外 
部 用 户 访 问 内 部 网 络 上 的 服务 。Maurice 关 掉 了 所 有 非 必 要 的 端口 。 他 
保持 TCP 端 口 21 为 打开 状态 ， 它 提供 对 FTP 的 访问 ， 因 为 在 Hypothetical 
公司 中 ， 信 息 通 常 以 大 型 纸 质 文档 方式 分 发 ， 对 此 ，FTP 是 一 种 理想 的 
传递 形式 。Maurice 仔 细 配 置 了 该 防火 墙 ， 从 而 端口 21 的 FTP 访 问 只 被 授 
权 用 于 连接 到 一 台 保 护 良 好 的 FTP 服 务 器 计算 机 。 

第 六 天 : Web 服 务 

这 个 网 络 终于 既 安 全 又 组 织 恨 好 了 。 士 气 委 员 会 决定 利用 这 一 新 建 
立 的 连通 性 ， 暗 中 监视 其 员工 ， 以 对 生产 紊 有 所 了 解 。 出 乎 他 们 意料 的 
是 ， 他 们 确定 实际 上 没有 人 做 事 。 对 于 新 订单 的 处 理 远 远 落 在 后 面 ， 
为 该 公司 没有 目 动 化 手段 记录 、 登 记 和 处 理 新 的 假想 订单 。 访 问 者 应 该 
通过 FTP 下 载 新 的 假想 。 该 服务 器 上 的 一 则 公告 指示 客户 和 癌 公司 总 部 发 
而 在 那里 ， 每 一 个 信封 都 被 吸烟 室 里 的 志愿 者 们 小 心地 打开 和 

Maurice 在 上 述 防 火 墙 之 前 放置 了 一 台 Web 服 务 器 ， 并 配置 它 使 得 
客户 可 以 通过 HTML 表 单 来 进行 订购 。 在 此 Web 服务 器 的 前 面 ， 他 还 
放置 了 另 一 个 防火 墙 ， 为 该 服务 器 和 其 他 接 入 Internet 的 计算 机 创建 了 一 
个 DMZ 〈 非 军事 区 ) 。 他 在 内 部 网 络 上 配置 了 另 一 台 Web 服 务 器 ， 并 设 
计 了 一 个 Web 服 务 应 用 程序 来 处 理 订 单 和 跟踪 库存 。 每 一 名 员工 桌面 上 
的 一 个 小 型 客户 端 应 用 程序 ， 通 过 以 XML 格式 交换 SOAP 消 息 ， 与 该 服 
务 右 进行 通信 。 外 和 面 的 那 台 Web 服 务 器 (通过 一 个 安全 的 连接 与 那 台 内 
部 服务 器 相连 ) ， 往 里 传递 来 自 Web 的 订单 。 该 服务 器 被 连接 到 一 个 跟 
踩 客户 交易 的 后 端 数 据 库 ， 同 时 ， 一 个 信用 卡 处 理 服务 的 安全 连接 为 网 
站 访问 者 提供 电子 商务 的 奇迹 。 

生产 率 快 速 增长 ， 使 得 大 家 有 更 多 时 间 来 喝 咖啡 休息 一 下 ， 而 该 公 
司 也 很 快 发 现 其 人 员 过 剩 。 会 计 组 的 3 名 成 员 几 乎 被 解雇 ， 但 是 他 们 很 
快 通过 强化 其 检查 办 公家 具 的 专业 ， 确 保 连 续 的 桌 椅 拥有 连续 的 序列 
号 ， 来 保证 其 未 来 的 重要 性 。 

Maurice 被 授予 早 下 班 的 权利 ， 但 他 还 是 留 下 来 为 网 站 配置 一 个 性 
能 增强 的 逆 癌 代理 系统 。 

第 七 天 : 签名 与 VPN 

新 的 Web 服 务 基础 设施 给 Hypotheticals 公 司 带 来 了 史无前例 的 成 
功 ， 该 公司 突然 被 新 的 订单 所 淹没 。 本 地 服务 器 很 快 束 不 堪 重 人 负 ， 
Maurice 约见 了 一 家 弹性 云 提 供 两 ， 要 求 他 们 在 业务 高 峰 时 有 段 提供 额外 






































的 处 理 能 力 。 然 而 ， 由 于 订单 处 理 系统 是 完全 上 自动 化 的 ， 因 此 全 体 雇 员 
没有 特别 注意 到 这 一 时 来 运转 的 情况 ， 并 继续 把 营业 日 的 绝 大 部 分 时 间 
花 在 计划 其 他 会 议 的 会 议 上 。 不 过 ， 这 一 成 功 没 有 远 脱 该 公司 竞争 对 手 
的 注意 。 特 别 是 有 一 家 竞争 对 手 尤 其 关注 。 尽 管 这 家 厂商 不 是 因 其 高 质 
量 或 高 效 服 务 而 驰名 ， 但 是 该 公司 通过 维持 非常 低 的 开销 (因为 其 总 部 
位 于 一 辆 废弃 的 18 轮 卡车 里 ) 来 生存 。 

这 家 竞争 对 手 不 是 通过 革新 ， 而 是 以 他 们 唯一 知道 的 方式 一 一 通过 
模仿 来 作出 反应 。 可 是 ， 这 种 模仿 超出 了 技术 的 简朴 纯净 ， 并 很 快 跨 入 
了 商标 侵权 的 黑洞 。 该 公司 开始 声称 ， 他 们 实际 上 束 是 Hypotheticals 公 
司 ， 并 开始 像 Hypotheticals 公 司 一 样 做 生意 。 由 于 交易 发 生 在 远 端 ， 客 
户 们 没有 确保 对 方 映 份 的 独立 手段 。 

泣 运 的 是 ，Maurice 已 经 准备 好 了 一 个 解雇 方案 ， 由 于 公司 的 其 他 
人 都 在 喝 咖啡 工 体 ， 所 以 他 能 够 在 最 小 限度 的 中 断 下 实施 它 。 他 与 一 家 
第 三 方 数字 认证 机 构 签 订 了 一 个 协议 ， 并 建立 了 一 个 数字 认证 系统 ， 用 
于 回 用 户 证 明 ， 与 他 们 打交道 的 是 真正 的 Hypotheticals 公 司 。 为 了 庆祝 
这 一 措施 的 成 功 ， 公 司 罕 见地 举办 了 一 次 办 公 室 聚会 ，Maurice 的 领导 
能 力 再 次 得 到 了 大 家 的 认可 ， 并 得 到 了 上 层 领 导 的 经 济 奖 励 。 在 庆祝 活 
动 结束 后 ， 他 被 叫 去 与 业务 主管 财 门 会 谈 。 那 个 主管 问 Maurice， 联 邦 
法 律 是 否 禁 止 在 Internet 上 对 体育 事件 进行 大 额 钱 款 的 赌博 。Maurice 告 
诉 他 ， 他 不 是 一 名 律师 ， 不 知道 赌博 法 律 的 细节 。 

那个 主管 转换 话题 问 ，Maurice 是 否 知道 一 种 方法 ， 通 过 它 ， 所 有 
在 Internet 之 上 的 通信 都 会 严格 得 到 保密 ， 这 样 ， 就 没有 人 能 够 发 现 他 在 
说 什么 或 者 是 在 和 谁 通 信 。Maurice 告诉 他 ， 他 所 知道 的 最 佳 技 术 是 虚 
拟 专 用 网 络 。 虚 拟 专 用 网 络 (VPN) 是 公共 线路 上 的 一 种 专用 加 密 连 
接 。VPN 提 供 的 连接 ， 其 保密 性 几乎 和 点 对 点 连接 差不多 。 

“我 立刻 需要 那样 的 一 条 线路 ，” 该 主管 边 说 ， 边 沉思 着 退回 了 他 的 
时 则 检 全 定 ; 


24.3 小 结 


本 章 研究 了 一 家 假想 公司 内 的 TCP/IP 网 络 。 读 者 得 以 从 内 部 角度 
来 查看 ， 网 络 管理 员 是 如 何 和 为 什么 实施 耳 编 址 技术 、 子 网 掩 码 技术 、 
DNS、DHCP 和 其 他 服务 的 。 

注意 : 尾声 

假如 你 正 想 知道 后 来 发 生 了 什么 .…… 

在 这 七 日 之 后 的 某 一 天 ， 联 邦 特工 来 到 公司 总 部 ， 逮 捕 了 那 名 业务 
主管 ， 这 使 得 士气 委员 会 有 了 一 个 空位 ， 公 司 总 裁 把 该 位 置 提供 给 了 
































Maurice 。 


24.4 问 与 答 


问 : 为 什么 Maurice 决 定 对 网 络 进行 子 网 划分 ? 

答 : 对 网 络 进行 子 网 划分 ， 可 以 降低 流量 。 

问 : 为 什么 Maurice 让 防火 墙 上 的 端口 21 为 打开 状态 ? 

答 : 通过 打开 端口 21， 可 以 提供 对 FTP 服 务 器 的 访问 。 注 意 到 
Maurice 在 第 6 天 ， 在 防火 墙 外 部 的 DMZ 内 放置 了 一 台 Web 服 务 器 。 尺 管 
文中 没有 明确 提 到 ， 但 是 Maurice 也 有 可 能 同时 在 防火 墙 的 前 面 放置 了 
一 台 FTP 服 务 器 。 


24.5 测验 


下 面 的 测验 由 一 组 问题 和 练习 组 成 。 这 些 问题 旨 在 测试 读者 对 本 章 
知识 的 理解 程度 ， 而 练习 旨 在 为 读者 提供 一 个 机 会 来 应 用 本 章 讲 解 的 概 
念 。 在 继续 学 习 之 前 ， 请 先 完成 这 些 问 题 和 练习 。 有 关 问 题 的 答案 ， 请 
参见 附录 A。 

24.5.1 问题 


1. 为 什么 Maurice 使 用 3 位 作为 子 网 地 址 ? 

2. Maurice 在 选择 了 3 位 用 作 子 网 地 址 之 后 ， 剩 余 的 5 位 用 作 主 机 地 
址 (可 用 于 30 台 主机 一 一 32 个 可 能 的 地 址 减 去 全 0 的 地 址 和 全 1 的 地 
址 ) 。 如 果 使 用 2 位 作为 子 网 地 址 的 话 ， 那 么 可 用 的 主机 地 址 和 子 网 地 
址 分 别 是 多 少 个 呢 ? 

3. 为 什么 Maurice 使 用 了 一 台 DNS 服 务 器 ， 而 不 是 配置 主机 文件 
呢 ? 

24.5.2 练习 

假定 Maurice 以 网 络 管理 员 喘 份 开始 第 2 周 的 工作 ， 他 应 该 如 何 进行 
如 下 配置 呢 ? 

> 网 络 监控 ; 

= VOIP ; 

广 Kerberos; 

> [Pv6; 

> 语义 Web。 





24.6 关键 术语 


复习 下 列 关 键 术 语 : 

> 无 类 域 见 路 由 (CIDR) : 在 无 需 参 考 IP 地 址 所 属 类 的 情况 下 ， 
就 可 以 确定 地 址 中 的 网 络 位 数 的 一 种 表示 法 。 

> 动态 主机 配置 协议 (DHCP) : 提供 动态 分 配 IP 地 址 功能 的 协 
Ds 

> DMZ: 位 于 一 台 前 端 防火 墙 的 后 面 ， 同 时 位 于 另外 一 台 用 于 保 
护 内 部 网 络 的 防火 墙 〈 限 制 更 为 严格 ) 前 面 的 一 个 中 间 区 域 ， 该 区 域 中 
放置 着 Internet 服 务 器 。 

> 域名 系统 (DNS) : 对 TCP/IP 网 络 上 的 资源 进行 命名 的 系统 。 
总 防火 墙 : 限制 网 络 对 内 部 网 络 进行 访问 的 一 个 设备 或 应 用 程 
亨 。 

> 网 络 地 址 转换 CNAT) : 一 种 允许 内 部 网 络 使 用 不 可 路 由 的 私 
有 了 JIP 地 址 进行 操作 的 技术 。 通 过 该 技术 ， 可 以 将 Internet 上 的 流量 发 送 
到 内 部 网 络 ， 也 可 以 将 内 部 网 络 中 的 流量 发 送 到 Internet 上 。 

> ping: 用 来 检测 主机 之 间 连 通 性 的 一 个 诊断 工具 。 该 工具 相当 
和 常见， 以 至 于 它 经 党 作为 动词 使 用 。“ping 一 下 ”就 是 使 用 ping 工 具 来 检 
测 TCP/IP 配 置 的 连通 性 。 

> 分 段 : 使 用 路 由 器 对 物理 网 络 进行 分 割 。 

> 子 网 : IP 地 址 空间 的 一 种 逻辑 划分 ， 它 是 用 过 TCP/IP 网 络 / 子 网 
ID 来 定义 的 。 

> 虚拟 专用 网 络 (VPN) : 穿越 公共 网 络 的 一 条 加 密 的 专用 通 








第 1 章 

问题 

1. 网 络 协议 是 一 组 用 于 网 络 上 的 计算 机 (或 其 他 设备 ) 之 间 通 信 的 
规则 和 数据 格式 的 集合 。 

2. 端点 验证 和 动态 路 由 特性 使 得 TCP/IP 可 以 在 分 散 的 环境 中 运行 。 

3.DNS 〈 域 名 服务 ) 负责 将 域名 映射 为 IP 地 址 。 

4.RFC 是 一 个 描述 某 个 Pnternet 标 准 的 文 要 ， 或 者 是 一 个 用 于 帮助 
运行 Internet 的 工作 组 报告 。 

5. 端口 是 用 来 将 数据 路 由 到 适当 网 络 应 用 程序 的 逻辑 通道 。 

第 2 章 

问题 

1. 数据 链 路 层 和 物理 层 。 

2. 网 际 层 。 

3. UDP 更 简单 ， 而 且 速 度 更 快 ， 但 是 它 不 具备 TCP 所 具有 的 错误 检 
测 和 流量 控制 功能 。 
4. 网 络 访问 层 。 
0 
练习 
1. TCP/IP 协 议 栈 各 层 的 功能 如 下 。 
网 络 访问 层 : 提供 物理 硬件 的 接口 。 
网 际 层 : 为 数据 报 提供 逻辑 寻 址 和 路 由 。 
传输 层 ， 提供 错误 检测 、 流 量 控制 和 确认 服务 。 
应 用 层 : 提供 网 络 排 错 设施 、 文 件 传输 、 远 程控 制 和 其 他 基于 网 络 
的 工具 ， 此 外 ， 它 还 提供 应 用 程序 用 来 访问 网 络 的 API。 

2. IP 和 传输 层 处 理 数 据 报 。 

3. 只 有 网 络 访问 层 需要 修改 ， 栈 的 其 他 部 分 保持 不 变 。 

4. “可靠 ”意味 着 TCP 使 用 错误 检测 和 确认 来 确保 将 每 一 个 TCP 分 段 








问题 
1. CRC【〔 循 环 见 余 校 验 ) 是 一 个 用 来 检验 数据 帧 中 的 数据 没有 被 破 
坏 的 校 验 和 。 


2. 当 以 太 网 上 的 两 个 节点 在 同一 时 刻 开 始 传输 数据 时 ， 会 发 生 冲 
突 。 当 节点 检测 到 有 冲突 发 生 时 ， 就 会 报告 发 生 了 冲突 检测 。 

3. 以 太 网 的 物理 地 址 是 48 位 。 

4. NDIS 和 ODI 提 供 了 物理 硬件 的 标准 接口 ，TCP/IP 和 其 他 连 网 协议 
栈 可 以 以 一 种 一 致 和 统一 的 方式 ， 使 用 这 些 接口 来 访问 网 络 便 件 。 

站 物理 地 址 和 逻辑 IP 地 址 之 间 的 链 路 。 

练习 

1. ARP 和 RARP 与 物理 地 址 和 IP 地址 有 关 。 

2. 以 太 网 、IEEE 802.11 (WiFi) 、IEEE 802.16 (WiMax) 和 电话 
线 拨号 是 4 中 常见 的 网 络 体系 。 

3. MAC 提供 了 网 络 适 配器 的 接口 。 逻 辑 链 路 控制 层 提 供 了 帧 错误 
检测 功能 ， 并 可 以 管理 子 网 中 网 络 节点 之 间 的 链 路 。 

第 4 章 

问题 

1.TIL 字 段 用 于 统计 ， 在 丢弃 一 个 IP 数 据 报 之 前 ， 还 剩余 多 少 跳 
数 。 它 的 用 途 是 防止 数据 报 在 网 络 中 无 限 循环 。 

2. 网 络 ID 是 8 位 ， 主 机 ID 是 24 位 。 

3. 八 位 组 是 一 个 8 位 的 数据 片 。 如 今 通常 将 其 称 之 为 字 节 。 

4. IP 地 址 是 计算 机 或 网 络 设 备 的 一 个 独立 网 络 接口 的 地 址 。 

5. ARP 用 于 将 IP 地 址 映射 为 物理 地 址 。RARP 用 于 将 物理 地 址 映射 


问题 

1. 子 网 ID 位 是 从 主机 ID 中 借 的 。 

2. 因为 子 网 划分 技术 已 经 被 纳入 到 CIDR 中 。 

3.“ 无 类 别 ” 指 的 是 不 再 使 用 传统 的 网 络 地 址 分 类 (A、B、C、 
D) ， 而 是 使 用 CIDR 前 级 的 事实 。 

4. 主机 ID 字段 是 6 位 ， 所 以 可 以 有 28 -2=62 台 主机 。 

和 

练习 

1. CIDR 地 址 是 180.4.0.0/14。 

2. 子 网 ID 从 主机 ID 借 走 了 3 位 ， 主 机 ID 中 还 剩 下 5 位 。 因 此 ， 子 网 中 
可 以 存在 25 -2=30 台 主机 。 

3. 子 网 ID 是 3 位 ， 因 此 有 23 -2=6 个 可 能 的 子 网 。 有 些 厂商 支持 全 0 和 
全 1 的 子 网 ， 此 时 则 意味 有 8 个 可 能 的 子 网 。 

4. 最 低 的 主机 地 址 是 195.50.100.1。 

5. 最 高 的 主机 地 址 是 195.50.101.254。 





第 6 章 

问题 

1. TCP 端 口 25 运 行 的 是 STMP 〈 简 单 邮 件 传输 协议 ) 。 

2. UDP 端口 53 运 行 的 是 域名 服务 器 。 

3. TCP 是 一 个 流 协议 。 数 据 作为 字 节 流 进行 传输 ， 而 且 没 有 记录 的 
概念 ， 因 此 ， 该 问题 没有 任何 意义 。 

4. 被 动 打开 表示 应 用 程序 愿意 接受 连接 。 主 动 打开 则 是 一 个 希望 连 
接 到 同一 台 主 机 或 远程 主机 上 另外 一 个 应 用 程序 的 请 求 。 

5. 采取 3 个 步骤 。 

第 7 章 

问题 

1. ping 工 具 用 来 检测 网 络 连 通 性 。 

2. HITP， 超 文本 传输 协议 。 

3. POP3 (邮局 协议 版 本 3) 和 IMAP (Internet 消 息 访问 协议 )。 

4. DNS， 域 名 服务 器 。 

5. NIP， 网 络 时 间 协 议 。 

第 8 章 

问题 

1. 两 种 动态 路 由 的 类 型 是 距离 矢量 路 由 和 和 链 路 状态 路 由 。 

2. 一 人 台 路 由 器 至 少 需要 2 个 接口 : 一 个 接口 连接 到 子 网 ， 另 外 一 个 
接口 连接 到 外 部 的 网 络 。 

3.BGP， 边 界 网 关 协 议 。 

4. 因为 当 网 络 使 用 超 网 技术 合并 之 后 ， 几 个 路 由 表 条 目 可 以 在 路 由 
表 中 合并 为 一 个 单一 的 条 目 。 

5. OSPF 是 链 路 状态 路 由 的 一 个 例子 。 

练习 

1. 当前 使 用 的 3 种 路 由 协议 是 RIPv2、OSPF 和 BGP。 

2. OSPF 可 以 使 用 几 个 参数 来 计算 一 条 路 由 的 开销 ， 而 RIP 只 能 使 用 
跳 数 来 计算 。 

3. 静态 路 由 很 简单 ， 而 且 也 不 需要 路 由 器 。 但 是 ， 如 果 网 络 比较 大 
时 ， 静 态 路 由 就 不 够 灵活 ， 而 且 因 为 复杂 度 提升 而 不 可 管理 ， 此 时 ， 网 
络 中 的 任何 变化 都 需要 系统 管理 员 来 处 理 。 

第 9 章 

问题 


1. PPP (点 到 点 协议 ) 是 在 在 电话 线路 上 传输 IP 数 据 报 的 最 常见 协 
”2. 适用 于 家 庭 的 两 种 宽带 技术 是 电缆 宽带 和 数字 用 户 线路 























(DSL) 。 
3. 帧 中 继 、HDLC、ISDN 和 ATM 是 4 中 常见 的 WAN 技 术 。 
4. 独立 的 BSS 网 络 也 可 以 称 为 ad hoc 网 络 。 
5.HUB 床 架 了 一 个 类 似 于 传统 以 太 网 线路 的 环境 ， 在 其 中 ， 筷 会 将 
所 有 的 消息 发 送 到 所 有 的 端口 ， 以 便 每 一 台 计 算 机 都 可 以 看 到 这 些 消 
息 。 交换 机 则 维护 一 个 物理 地 址 表 ， 而 且 只 将 消息 发 送 给 有 接收 意图 的 


练 二 

拨号 连接 要 比 宽带 连接 (比如 DSL 和 电缆 调制 解 调 器 ) 慢 。 在 使 用 

拨号 连接 时 ， 会 占用 电话 线 ， 因 此 ， 当 使 用 拨号 连接 的 计算 机 在 通常 在 

J 都 需要 与 网 络 断 开 。 这 让 Internet 的 便利 性 大 打 
日 。 


问题 


1. CNAME; 它 用 来 将 一 个 别名 映射 到 A 记录 中 指定 的 一 个 名 称 


2. DNSSEC 使 用 一 个 DS 资源 记录 (存储 在 父 区 域 中 ) 来 识别 和 认证 
存储 在 子 区 域 中 的 DNSKEY 资 源 记 录 。 将 DS 记录 存 贮 在 父 区 域 中 可 以 
让 查询 遍历 必要 的 信任 链 ， 以 验证 查询 相应 的 真实 性 。 

3. 通过 在 LMHosts 文 件 中 推荐 加 一 个 include 语 句 ， 可 以 实现 集中 管 
理 。 以 要 NCLUDE 打 头 ， 并 提供 了 LMHosts 文 件 在 服务 器 上 的 位 置 的 那 
一 行 ， 也 提供 了 指向 中 央 文 件 的 一 个 链接 。 

4. 在 一 个 LMHosts 文 件 中 ， 在 所 需 条 目的 行 前 添加 关键 词 #PRE。 





1. 许多 代理 服务 器 都 会 缓存 之 前 浏览 的 页 面 。 该 技术 被 称 为 内 容 
缓存 ， 它 可 以 让 代理 服务 器 在 本 地 提供 页 面 ， 因 此 要 比 从 Internet 上 的 某 
台 服 务 器 请 求 页 面 更 快 。 

2. 许多 (甚至 大 多 数 ) 计算 机 程序 都 包含 隐藏 的 错误 或 不 安全 的 
代码 ， 它 们 会 允许 入 侵 者 通过 欺骗 程序 来 获得 访问 权限 。 这 些 错误 通过 
更 新 来 不 断 进行 纠正 。 如 果 你 想 让 你 的 系统 保持 安全 状态 ， 则 需要 在 洪 
在 的 入 侵 者 找到 使 用 漏洞 进行 入 侵 的 方法 之 前 ， 先 行 安 装 已 经 弥补 了 该 
漏洞 的 一 个 更 新 。 

3. SSL 在 传输 层 之 上 运行 ， 因 此 使 用 SSL 的 应 用 程序 必须 能 够 感 
知 到 SSL 接 口 。 而 IPSec 则 运行 在 协议 栈 的 低层 ， 应 用 程序 没有 必要 了 
解 IPSec。 从 问题 描述 的 场景 来 看 ，Ellecn 似 乎 应 该 使 用 IPSec。 

4. 什么 都 不 会 发 生 (我 们 希望 ) 。 会 话 票证 使 用 服务 器 的 长 期 密 




















钥 进行 加 密 。 只 要 入 侵 者 不 能 访问 服务 器 的 长 期 密 钥 ， 就 不 发 破解 村 
证 。 侦 然 发 现 服务 器 的 长 期 密 钥 的 入 侵 者 ， 可 以 解密 票证 ， 提 取 会 话 密 
钥 ， 然 后 才 有 可 能 冒充 服务 器 。 


1. DCHP 中 继 代 理 。 

2. DNS 服务 发 现 (DNS-SD) 使 用 PTR 记 录 来 装配 (assemble〉 服 
务实 例 的 一 个 浏览 列表 ， 并 使 用 SRV 记 录 来 获得 用 于 服务 的 DNS 主机 名 
和 端口 号 。TXT 记 录 提 供 了 与 服务 有 关 的 附加 信息 。 

第 13 章 

问题 

1. 在 广播 中 ， 网 络 段 中 的 所 有 主机 都 可 以 读 取信 息 ， 即 使 信息 与 
其 无 关 。 而 多 播 则 将 接受 者 限制 到 一 个 主机 组 中 ， 该 主机 组 可 以 是 本 地 
网 络 中 所 有 主机 的 一 个 较 小 的 子 集 。 

2. IPV6 目 动 配置 可 以 根据 唯一 的 物理 (MAC) 地 址 生成 一 个 地 
址 。 主 机 在 采用 这 个 自动 配置 的 地 址 之 前 ， 需 要 先进 行 重复 地 址 检测 。 
这 些 步 又 降低 了 地 址 冲突 的 可 能 性 。 

3.”6to4 隧 道 系统 使 用 的 IPv6 前 级 是 2002::/16。 

4. Teredo 是 一 个 用 于 NAT 设 备 的 IPv6 隧 道 技 术 。 

第 14 章 

问题 

1. 当 网 络 停止 运行 时 ， 要 党 试 的 第 一 件 事情 是 ping 一 些 远程 站 点 。 

2. 使 用 arp-a (在 有 些 UNIX 系 统 上 是 arp -g) 来 得 看 ARP 绥 存 。 

3. 使 用 netstat -p tcp 来 获得 当前 的 TCP 连 接 列表 。 

4. 使 用 netstat -r 来 查看 路 由 表 。 

5. 网 络 监视 器 、tcpdump 和 Wireshark 都 是 协议 分 析 器 。 





第 15 章 
问题 
1. Telnet 工具 以 明文 方式 传递 其 所 有 得 到 信息 ， 其 中 包括 密码 ， 


0 而 SSH 工 具 对 其 数据 进行 了 了 加密， 因此 要 比 Telnet 更 加 
妆 全 5 
2. Berkeley 的 rx 工具 使 用 的 受信 访问 的 概念 。 
3. SNMP〔 简 单 网 络 管理 协议 ) 使 用 了 MIB。 
4. SNMP 可 以 用 来 查看 特定 主机 上 正在 发 生 的 事情 ， 但 是 无 法 显示 
整个 网 络 上 正在 发 生 的 事情 。 

2 添加 了 监控 协议 栈 上 面 5 层 的 能 

练习 











1. 登录 一 台 远 程 机 右 的 3 种 方法 (按照 安全 级 别 由 高 到 低 〉 是 
SSH、 Telnet 和 rlogin。 

2. 与 接口 信息 相关 的 MIB 是 iso.org.dod.internet.mgmt.mb.inferface 或 
数字 .1.3.6.1.2.1.2。 

3. RMON 警 告 组 的 地 址 是 iso.org.dod.internet.mgmt.mb.mon.alarm 或 
数字 .1.3.6.1.2.1.16.3。 

4. SNMP 的 缺点 包括 下 面 这 些 : 

> 无 法 查看 低层 协议 ; 

> 需要 一 个 运行 的 协议 栈 ; 

> 会 生成 沉重 的 网 络 流量 ; 

> 会 提供 大 量 难以 进行 分 析 的 数据 ; 

> 无 法 提供 网 络 查 看 。 

第 16 章 

问题 

1. put 命 令 是 将 一 个 文件 上 传 到 服务 器 的 基本 命令 ， 而 mput 命 令 可 
以 在 一 个 命令 行 中 将 多 个 文件 上 传 到 服务 器 。 

2. 不 能 。TFTP 只 能 传输 文件 。 无 法 使 用 TFTP 来 查看 远程 目录 。 

3. Samba 最 初 是 为 了 促进 与 Windows 系 统 的 互 操作 性 而 设计 的 。 在 
Microsoft 使 用 的 SMB 文 件 服务 协议 中 ， 它 充当 一 个 开源 的 服务 器 和 客户 
器 。CIFS 是 SMB 的 一 个 开放 标准 版 本 。Samba 文 持 CIFS， 尽 管 属于 SMB 








1. 一 个 真正 的 一 级 网 络 都 具有 对 等 安排 功能 ， 可 以 让 它 与 所 有 的 
其 他 一 级 网 络 ， 以 免费 的 方式 共享 流量 。 二 级 网 络 可 能 也 有 一 些 对 等 安 
排 功 能 ， 但 是 可 能 也 需要 购买 访问 其 他 网 络 的 权限 。 这 些 分 类 只 是 理论 
上 的 ， 因 为 商业 提供 商 之 间 的 真正 的 安排 细节 是 不 对 公众 开放 的 。 

2. Scheme 指定 了 读 取 URI 的 格式 ， 通 党 与 一 个 协议 或 服务 有 关 。 

3. Scheme 位 于 字符 串 开 头 的 冒号 双 斜 线 的 前 面 。 

4 流行 的 scheme 包 括 http、https、ftp、]ldap、file、mailto 和 pop。 

5. index.html。 
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问题 

1. 如 果 服 务 器 和 浏览 器 被 配置 了 不 同 的 会 话 参数 ， 则 协商 阶段 可 以 
让 它们 就 必要 的 公共 设置 达成 一 改 ， 以 进行 成 功 的 通信 。 

2. HTML 内 容 位 于 <HTML></HTML> 标 记 之 间 。 在 这 两 个 标记 内 
是 <HEAD> 部 分 和 <BODY> 部 分 。<HEAD> 部 分 包含 标题 、 类 型 和 控制 

















设置 。<BODY> 部 分 包含 将 要 显示 在 Web 浏览 器 窗口 中 的 内 容 。 规 范 
要 求 在 第 一 个 HTML 标记 之 前 有 一 个 ! DOCTYPE 语 句 ， 不 过 该 语句 经 
常 被 忽略 。 

3. 该 场景 通常 是 通过 服务 器 端的 脚本 标 称 来 处 理 。 由 于 数据 库 位 于 
0 
珊 ， 全 5 

4. 当然 ， 在 新 系统 中 会 发 生 许多 事情 ， 但 是 就 本 例 而 言 ， 很 有 可 能 
是 你 的 Web 浏 览 嚣 没有 被 配置 为 识别 和 读 取 PDF。 取 决 于 你 的 浏览 器 和 
操作 系统 ， 解 决 方案 是 安装 一 个 合适 的 浏览 器 插件 ， 或 者 是 将 一 个 PDF 
阅读 器 与 PDF 文 件 类 型 关联 起 来 ， 这 样 你 的 浏览 器 就 知道 如 何 处 理 这 些 
文件 了 。 
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问题 

1. CMS 和 和 Web 服务器 完美 集成 ， 来 管理 和 发 布 Web 内 容 : CMS 实质 
上 是 Web 服 务 器 系统 的 一 个 扩展 。 将 CMS 放置 到 一 台独 立 的 计算 机 
中 ， 会 产生 性 能 问题 ， 甚 至 会 引发 安全 问题 。 

2. 每 一 个 市 点 都 可 以 充当 客户 端 和 服务 器 。 

3. RDF 三 元 组 类 似 于 一 个 简单 的 语句 ， 其 组 成 部 分 是 主体 、 谓 词 和 


4. HTML5 将 很 多 像 Flash 这 样 的 工具 的 功能 (比如 绘图 和 视频 揪 


























对 象 


1. 模式 是 文档 使 用 的 一 个 通用 术语 ， 它 描述 了 XML 数据 集 的 结 
构 。 尽 管 当前 存在 几 种 模式 语言 ， 但 是 术语 “模式 ”也 专门 用 来 描述 使 用 
W3C 的 官方 XML 模式 语言 编写 的 XSD 模式 文件 。 
服务 器 。 

3. REST 强调 的 是 简单 、 完 整 的 操作 ， 它 可 以 让 系统 停留 在 一 个 完 
整 的 可 预测 的 状态 中 。 而 PUT 方法 是 等 蝴 的 ， 也 就 是 说 ， 无 论 某 个 命令 
执行 多 少 次 ， 相 同 的 行为 必定 会 产生 相同 的 结果 。 而 更 为 开放 的 POST 
方法 ， 可 能 只 更 新 记录 的 一 部 分 ， 或 者 是 造成 服务 器 所 执行 的 某 些 任意 
0 
医 


4. 由 于 REST 将 所 有 的 服务 器 操作 隐藏 在 服务 器 之 内 ， 远 离 了 接 
口 ， 因 此 它 可 以 提供 更 好 的 而 且 更 可 以 预见 的 安全 性 。 
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问题 
We Internet 邮 件 扩 展 ， 它 用 来 将 非 ASCII 附 件 编码 为 
8 件 消息 。 
2. STMP “简单 邮件 传输 协议 ) 用 来 发 送 消息 。 
3. POP3 〈 邮 局 协议 ) 或 IMAP (Internet 消 息 访问 协议 ) 用 来 从 用 户 
的 邮箱 中 检索 电子 邮件 消息 。 
4. 对 webmail 最 大 的 抱怨 是 因为 Internet 的 瓶颈 而 带 来 的 性 能 问题 。 
5. Webmail 易于 使 用 和 管理 ， 因 此 对 非 技术 用 来 说 是 一 个 不 错 的 选 
择 。 因 为 它 使 用 的 是 HITP， 因 此 可 以 穿越 防火 墙 〈 而 STMP、 了 POP3 和 
IMAP 可 能 无 法 通过 防火 墙 ) 。 
a 下 ，webmail 使 得 用 户 可 以 通过 任何 接 入 到 Internet 的 计算 机 来 得 
bp 件 。 





问题 

1. 缓冲 使 得 应 用 程序 可 以 使 用 恒定 的 速率 ， 将 声音 /视频 发 送 给 用 
户 ， 从 而 保证 了 声音 和 视频 的 流畅 性 和 自然 性 。 

2. RSTP 〈 实 时 流传 输 协议 ) 可 以 让 终端 用 户 将 命令 发 送 到 流传 输 
服务 器 ， 就 像 远程 控制 那样 。 

3. SCTP 和 DCCP 都 是 面向 连接 的 。 

4. Podcast 通 过 RSS 来 交付 。 


1.， 由 于 它们 将 应 用 程序 从 客户 端 转移 到 服务 器 ， 因 此 在 使 用 最 小 
的 资源 来 运行 客户 端的 环境 中 ，SaaS 成 为 理想 之 选 。 

2. 或 许 你 可 以 注册 到 云 打 印 服 务 中 ， 这 样 ， 当 远程 用 户 取得 你 的 
许可 后 ， 就 可 以 使 用 你 的 打印 机 了 。 

3. 尽管 可 以 使 用 很 多 选项 (取决 于 具体 细节 〉， ， 但 是 在 该 场景 
中 ， 它 只 需要 偶尔 使 用 处 理 功能 ， 因 此 弹性 云 解 诀 方 案 无 疑 更 好 。 

4. 在 云 中 运行 的 单个 应 用 程序 可 以 很 好 地 结合 PaaS 工 具 来 使 用 。 
有 多 个 PaaS 工 具 支 持 Java， 其 中 包括 Google App Engine、Microsoft 
Azure 和 Amazon Beanstalk。 








问题 

1. 子 网 位 的 理想 位 数 取决 于 子 网 的 数量 和 每 个 子 网 的 大 小 。 为 了 进 
行 子 网 划分 而 借用 主机 的 位 数 时 ， 主 机 的 位 数 会 减少 。 此 时 ，Maruice 
基于 现 有 的 网 络 条 件 做 出 了 一 个 判断 。 一 个 3 位 的 掩 码 可 以 让 每 个 子 网 





有 30 台 主机 。 

2. 一 个 2 位 的 掩 码 会 导致 主机 地 址 只 有 6 位 可 用 ， 也 就 是 说 ， 可 用 的 
主机 地 址 是 2 个 主机 地 址 减 去 全 0 的 地 址 和 全 1 的 地 址 ， 即 62 个 地 址 。 两 
个 子 网 位 会 生成 2 个 或 4 个 可 用 的 子 网 (如 果 也 使 用 全 0 和 全 1 的 子 
网 ) ， 或 者 是 生成 2 个 子 网 (不 使 用 全 0 和 全 1 的 子 网 )。 

3. Maurice 需要 花费 时 间 来 单独 配置 每 一 个 主机 文件 ， 或 者 是 创建 
一 个 可 以 复制 网 络 上 主机 文件 的 脚本 。 而 且 ， 只 要 当 网 络 中 有 变动 发 
生 ， 就 必须 对 主机 文件 进行 更 新 。 
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